一、凝思磐石操作系统简介

  安全性是凝思磐石安全服务平台软件V2.4的主要特征，充分结合凝思科技独有技术与国内外多项安全标准的要求，在操作系统和应用程序的各个层次进行安全增强，使系统成为安全的有机整体。主要安全机制有以下几点：

• MEC（强制运行控制）
  在操作系统内核监视受限进程的行为范围，防止用“代码注入”的方法获得系统的最高控制权，充分抵御网络攻击。
• MCC（强制能力控制）
  消除系统中不受限制的进程，只赋予每个特权进程能够完成其功能最小能力，实现“最小特权”原则。
• ACL（访问控制列表）
  实现细粒度自主访问控制，能够以特定用户或特定组为单位分配访问许可，防止文件许可范围的不必要扩散。
• MAC（强制访问控制）
  基于BLP模型实现，系统内核根据主客体安全属性进行访问许可决策。可有效控制敏感信息的流动，保护信息的私密性。
• 四权分立的系统管理机制
  各系统管理员相互牵制，不能独立控制系统，防止管理员恶意或偶然操作破坏系统安全。
• 无root运行模式
  禁止root登录，禁止用户进程切换为root身份，保护关键数据的私密性和完整性。

  博文实验环境在虚拟机环境下完成安装测试，博文实验环境软件版本信息如下：

• 虚拟化平台版本：Proxmox7.0.8
• 凝思磐石版本：6.0.80

二、下载及安装步骤

1、官网下载安装包

  访问凝思官网，下载操作系统安装包iso文件。

2、将iso文件上传到虚拟化平台

3、校验文件MD5值

  安装使用软件包前校验MD5值是个好习惯，官网一般都会提供MD5值，与官网的值进行比较，确保下载的是未经篡改的软件包。

4、创建一个虚拟机

  我们创建了1个2c、4G内存、60G硬盘的虚拟机。

5、开始安装

  回车开始安装。

6、点击继续

  首先会尝试DHCP自动获取IP地址，失败后会有如下提示。

7、选择手动设置网络

  我们这里选择手动进行网络设置。如果是后安装完成后手动修改IP地址则是修改/etc/network/interfaces配置文件，可以配置内容包括IP地址、掩码、网关等。

8、设置IP地址及掩码

  设置IP地址及掩码，可以试验IP地址/掩码的方式一次完成设置，也可以分配设置IP地址和掩码。

9、设置网关

  设置网关地址。

10、设置DNS

  配置DNS地址，如果是后续修改则是修改/etc/resolv.conf文件，与centos系统是一致的。配置示例：nameserver 114.114.114.114

11、输入主机名

  配置主机名。

12、设置域名

  设置域名，可以必选项，可以为空，回车继续即可。

13、输入序列号

  输入凝思提供的序列号，是16位的字符串。序列号是凝思用户的服务凭证，如果没有序列号连基本的网络服务都没有。博主也只是进行凝思操作系统的安装实践，也厂商客服电话申请试用，但只打通了前台电话，售前、售后转接都失败了，没有申请到试用license。

14、输入root密码

  设置root账户密码。

15、确认root密码

  确认root账户密码。

16、创建普通用户

  创建一个普通用户，这里输入全名。

17、设置账户名

  设置账户，又要求输入一次用户名，有点不太理解这个用途。

18、设置用户密码

  设置普通用户账户密码。

19、确认密码

  确认普通账户密码。

20、磁盘分区方式选择

  选择磁盘分区方式，我这里选择了加密的LVM方式。

21、选择磁盘

  选择系统安装的磁盘，我们这里就一块盘，直接回车即可。

22、选择分区方案

  选择分区方案，按照推荐选择即可。

23、确认LVM分区方案

  确认LVM卷的分区方式。

24、随机数据覆盖

  随机写覆盖磁盘数据，这样可以保障系统安装的磁盘是纯净的，根据磁盘大小会有不同的耗时，我60G磁盘，耗时10分钟以上，如果确定磁盘已经清理干净，可以回车取消该步骤。

25、输入磁盘加密口令

  因为我们选择了LVM加密的方式，所以需要设置磁盘加密口令，建议是20个以上字符的口令句，非强制长度。

26、确认加密口令

  确认口令句。

27、确定磁盘分区信息

  确认磁盘分区信息。

28、格式化分区

  选择是后开始格式化磁盘。

29、配置网络镜像

  如果有网络镜像可以选择是，配置网络镜像，我们这里序列号都没有，也就没有网络，所以直接选择否。

30、安装软件包

  可以选择几种环境软件包的安装，如果是作为服务器部署，按照默认的最小化安装即可。博主测试了服务器运行环境的安装，主要是安装ftp和mysql软件，mysql安装版本是5.5，实在是有点老旧了。

31、安装GRUB

  单系统安装选择是即可。

32、选择安装GRUB的磁盘

  我们只有唯一磁盘，选择磁盘回车即可。

33、完成完成并重启

  安装完成后点击继续完成系统重启。

34、输入磁盘密码口令

  启动后需要先输入磁盘加密口令才可以正常启动系统。

35、登录系统

  输入账户登录系统，博主测试了直接输入root账户及口令也是可以登录的。

36、验证网络

  经验证，在没有序列号的情况下确实是除了本机网卡可以ping通外，网络服务完全是没有的。

三、QA

1、手动更新序列号

• 虽然我没有序列号，还是查询官方手册了解了下手动更新序列号的方法，编辑/etc/default/grub文件，将序列号写入下图的位置。修改为正确的序列号后，执行 update-grub 命令将其更新到/boot/grub/
  grub.cfg 文件中，然后重启机器。