前言

在数字化基础设施加速演进的今天，操作系统不仅要承担计算资源的调度与管理任务，更是企业安全防护体系的第一道壁垒。而 openEuler 作为由华为主导、社区共建的开源操作系统，近年来凭借稳定、可控、安全、开源协同等特性被越来越多企业采用。下面我们就一起从两个核心维度——安全防护能力与性能表现出发，通过实际测试与示例，来看看 openEuler 安全能力与性能表现如何。

@TOC

一、openEuler 介绍

1.1 了解 openEuler

openEuler 是面向数字基础设施的开源操作系统，由开放原子开源基金会孵化及运营，旨在通过开源开放的形式汇聚全球技术力量，构建稳定、安全、高性能的基础软件生态。该系统不仅 100% 覆盖 ARM、x86、RISC-V、SW-64、LoongArch 等主流计算架构，还兼容 NPU、GPU、DPU 等异构算力设备，适配 100+ 整机与 300+ 板卡，广泛应用于金融、运营商、能源、云计算等关键行业。目前已拥有 552 万 + 社区用户、25 家商用 OSV 合作伙伴，形成了从技术研发到商业落地的完整生态闭环。

1.2 openEuler 的总体架构

openEuler 采用分层化、模块化的架构设计，同时针对嵌入式场景创新推出 “太阳系” 式混合架构，既保障了核心功能的稳定性，又具备极强的扩展性与灵活性。

• 内核层：以高质量 Linux 内核为基础，提供 5.10、6.6 等稳定版本，同时通过 Preempt-RT 补丁等优化，兼顾通用计算与软实时能力，核心负责硬件资源管理、进程调度、内存管理等基础功能。

• 融合弹性底座（FusionDock）：作为嵌入式场景的关键技术集合，支持裸金属、嵌入式虚拟化、轻量级容器、TEE、异构等多种形态，为多运行时协同提供底层支撑。

• 混合关键性部署框架（MICA）：构建于 FusionDock 之上，通过统一接口屏蔽底层实现差异，提供生命周期管理、跨 OS 通信、服务化框架、多 OS 基础设施四大核心能力，实现 Linux 与 RTOS、裸金属运行时等的高效混合部署。

• 生态与应用层：包含南向硬件适配层与北向应用层，南向支持 ARM64、ARM32、x86-64、RISC-V 等多体系架构及多款具体硬件，北向聚焦 OT 场景需求，提供丰富软件包与功能组件。

1.3 openEuler 的设计目的

openEuler Embedded 旨在成为一个以 Linux 为中心的综合嵌入式软件平台。如上图所示，openEuler Embedded 中各组成部分的关系类似于一个“太阳系”的结构： 复杂而强大的 Linux 平台作为整个星系的中心，提供丰富的生态与功能、强大的基础设施，而不同的非 Linux 运行时“行星”则围绕着 Linux 这颗“太阳”提供各具特色的功能与生态，例如通过硬实时操作系统（Real-Time Operating System, RTOS）可以满足 us 级的硬实时的需求， 基于可信执行环境(Trusted Execution Environment, TEE)技术的运行时可以保障信息安全、与硬件紧密结合的裸金属运行时可以实现极致性能、借助硬件辅助的虚拟化技术嵌入式虚拟机可以实现不同运行时之间的高效隔离和灵活调度等。openEuler Embedded 以 Linux 丰富的生态与功能、重点构建的混合关键性系统、分布式软总线等关键特性、以及作为一个平台所必须的基础设施等为“引力”，把诸多的运行时与 Linux 有机地集成在一起。

二、测试环境与系统配置检测

在进行性能与安全测试的核心前提是摸清基础环境，连环境都不理解那不是等于白测了？下面我们就先来观察一下登录信息吧，可不要小瞧了这个里面可是信息满满，这一界面看似简单，实则蕴含丰富的系统关键信息，每一项内容都能为后续的核心测试提供重要支撑，是保障测试高效推进的重要基础。

• 审计提示：界面多次出现 “Authorized users only. All activities may be monitored and reported.”，表明系统仅允许授权用户访问，且所有操作会被监控和记录，这是安全审计的关键依据，保障操作可溯源。

• 内核版本：“Welcome to 6.6.0-102.0.0.8.oe2589.x86_64” 表明系统采用的是带有 “oe2589” 标识的企业级定制内核，该内核经自主研发优化，为性能与安全测试提供了底层环境支撑。

• 系统负载与资源使用：

• 系统负载（System load）为 0.00，说明当前系统资源空闲，无明显压力。

• 内存使用率（Memory used）7.7%，交换分区使用率（Swap used）0%，磁盘使用率（Usage On）6%，均处于极低水平，表明环境纯净，无资源干扰，能确保性能测试数据的准确性。

你看从以上信息从安全审计、底层环境、资源状态三个维度，清晰呈现了测试环境的核心属性。说明当前环境是一个审计合规、底层可靠、资源纯净的理想测试靶场，能有效支撑后续性能与安全测试的精准开展。

2.1 查看操作系统信息

• 测试介绍：通过命令行工具查询系统版本、发行版信息，验证当前运行的 openEuler 版本完整性与合规性。

• 测试工具：openEuler 自带终端命令行。

• 测试代码：

# 查看操作系统版本信息cat /etc/os-release# 查看系统内核版本uname -r# 查看系统主机名与硬件架构hostnamectl

从以上信息就可以看出咱们本次测试的系统为openEuler 25.09，这是基于 Linux 6.6 内核的企业级创新版本，具备多核高密、机密计算等特性，适用于服务器、云原生等场景。架构为x86-64框架其内核版本为6.6.0102.0.0.8.oe2589.x86_64。

2.2 查看当前 CPU 配置

• 测试介绍：检测 CPU 型号、核心数、线程数、主频等关键参数，为后续 CPU 并发性能测试提供基础数据参考。

• 测试工具：openEuler 自带终端命令行、lscpu 工具（系统预装）。

• 测试命令：lscpu
  

2.3 查看内存状态

• 测试介绍：通过命令行工具查询系统内存的使用状态、总量、空闲量及详细分配情况，评估系统内存资源的当前负载与可用性。

• 测试工具：openEuler 自带终端命令行（依赖系统内置的 free 工具及 /proc 文件系统）。

• 测试命令：free -h
  

从内存状态信息上看，物理内存（Mem）：总量 15Gi，已使用 594Mi，空闲内存有 14Gi。说明系统内存总量充足，完全支持咱们进行各种性能测试。

三、 系统性能实测

3.1 CPU 并发性能测试

• 测试介绍：模拟多线程并发任务处理场景，测试 CPU 调度效率、多核心协作能力，评估 openEuler 在高并发计算场景下的性能表现。

• 测试工具：sysbench（开源性能测试工具，支持多线程并发测试）。

• 工具安装：

# 安装 sysbenchdnf install -y sysbench# 验证安装成功sysbench --version

sysbench这一款开源的多线程性能测试工具安装好了我们就来进行性能测试了，具体测试 CPU 计算质数的耗时、以及每秒完成的运算次数等数据，用来衡量系统 CPU 的单核 / 多核运算性能、并发处理等性能。

通过 sysbench 进行 CPU 性能测试（计算最大质数 20000），结果显示：测试时长 10 秒，共完成 7349 次计算事件，每秒可处理 734.79 次事件；单次事件延迟最小 1.31ms、平均 1.36ms、最大 5.56ms，95% 事件延迟不超过 1.42ms；并发能力出色。

3.2 磁盘性能测试

• 测试介绍：测试磁盘读写速度、IOPS（每秒 I/O 操作数）、延迟等关键指标，评估 openEuler 对磁盘 I/O 的优化能力，适配数据库、文件存储等 I/O 密集型场景。

• 测试工具：fio（专业磁盘 I/O 测试工具，支持随机读写、顺序读写等多种场景）。

• 工具安装：

# 安装 fiodnf install -y fio# 验证安装成功fio --version

然后我们运行以下命令，该命令会输出每秒读写次数（IOPS）、每秒读写吞吐量（Bandwidth）、读写延迟等关键指标，可用于评估磁盘在随机混合读写场景下的并发处理能力、性能稳定性及响应速度。

fio --name=io-test --size=2G --rw=randrw --rwmixread=70 \--ioengine=libaio --bs=4k --numjobs=4 --runtime=60 \--group_reporting

本次 fio 磁盘 I/O 测试（随机混合读写 7:3、4K 块、4 线程并发、持续 60 秒）结果显示：读性能（带宽 38.6MiB/s、IOPS 4247）优于写性能（带宽 16.6MiB/s、IOPS 4259）；读延迟平均 392.66μsec，写延迟平均 19.09μsec，但两者均存在一定延迟波动；磁盘利用率达 84.85%，处于高负载状态但未完全饱和。

• 然后我们在使用以下命令输出内存读写的总耗时、每秒传输的块数（ops/sec）、每秒数据吞吐量（MiB/sec），来衡量系统内存的读写效率、数据传输速度及稳定性。

sysbench memory --memory-block-size=1M --memory-total-size=1G run

3.3 内存性能测试

然后我们在使用以下命令输出内存读写的总耗时、每秒传输的块数（ops/sec）、每秒数据吞吐量（MiB/sec），来衡量系统内存的读写效率、数据传输速度及稳定性。

sysbench memory --memory-block-size=1M --memory-total-size=1G run

从上面结果可以看出本次测试结果，内存写性能测试表现优异，数据吞吐量超 21GB/s，延迟极低且稳定，线程调度公平性完美，说明系统内存具备高速、低延迟的写操作能力，可支撑高并发、大数据量的内存密集型应用场景。

四、安全性验证测试

4.1 用户与权限管理验证

1. 查看当前系统用户及特权用户

cat /etc/passwdcat /etc/sudoers | grep -v '^#' | grep -v '^$'

2. 下面我们来查看/etc 目录下 shadow passwd sudoers 系统敏感配置文件的权限信息，确保 shadow 文件仅 root 可读写。

ls -l /etc/passwd /etc/shadow /etc/sudoersstat /etc/shadow

3. 然后我们切换为普通用户能否越权操作

su - testusertouch /root/testfile

这里给我们弹出 Permission denied 的结果，充分验证了系统用户权限隔离的正常工作，普通用户无法越权访问或修改管理员的敏感目录。

4.2 防火墙（firewalld）配置验证

这里我们先检查一下防火墙的开启情况，经过验证发现防火墙目前是已经启动的，并且并未开放端口

systemctl status firewalld  # 检查防火墙是否运行firewall-cmd --list-all  # 查看当前 zone 的规则（开放端口、服务等）firewall-cmd --list-ports  # 查看开放的端口

2. 然后我们用另一台机器测试未开放端口的访问限制（以 8080 端口为例）

telnet 113.45.200.252 8080

从测试结果来看，当使用另一台机器通过 telnet 命令访问目标服务器的 8080 端口时，出现了连接失败的提示。说明防火墙基于预设的安全策略对未授权的端口访问请求进行了拦截，有效阻止了外部对该端口的连接尝试。

4.3 日志审计与安全事件监控

• 测试介绍：openEuler 审计日志（auditd）记录系统关键操作（如用户登录、文件修改、权限变更等），为安全事件追溯提供依据。本次测试验证审计日志对敏感操作的记录完整性与可追溯性。

• 测试工具：openEuler 自带 auditd 服务、ausearch 工具（审计日志查询工具）。

• 测试前提：确保 auditd 服务正常运行，先通过以下命令验证：

# 查看 auditd 状态systemctl status auditd# 若未启动，启动并设置开机自启systemctl start auditdsystemctl enable auditd

然后我们进行配置审计规则：监控 /etc/passwd 文件（用户账户配置文件）的修改操作

• 说明：-w 监控文件路径，-p w 监控写操作，-k 设定关键词（便于查询）

auditctl -w /etc/passwd -p w -k passwd_modify

执行下面的执行敏感操作：修改 /etc/passwd，然后查询完整审计日志文件

# 新增用户修改修改 /etc/passwduseradd audit_test# 查看完整审计日志文件tail -f /var/log/audit/audit.log

这里我们可以看到执行 ausearch -k passwd_modify 后，日志清晰记录了修改 /etc/passwd 的操作时间、执行用户（root）、进程 ID、操作类型等关键信息；USER_LOGIN 类型日志记录了所有用户的登录时间、IP 地址、认证结果。说明 openEuler 审计日志能全面覆盖敏感操作，为安全事件追溯提供完整依据。

总结

经过本次深入的性能评测与优化实践，openEuler 25.09 作为企业级开源操作系统的综合表现十分亮眼：CPU、内存与磁盘性能调度均衡，无明显短板，在轻量服务部署、日志存储、中小型数据库搭建等核心业务场景中均能稳定胜任，完全可满足企业初阶业务需求。从性能适配的实用性到安全机制的易用性，openEuler 25.09 为企业级场景提供了兼具可靠性与性价比的开源解决方案，是企业数字化转型中值得优先考量的系统选择。

• openEuler 官网完整版镜像下载：https://www.openeuler.org/zh/download/
  

• openEuler 操作文档：https://docs.openeuler.openatom.cn/zh/