国产操作系统  加固

之前笔者文章中介绍过的非官方安全加固脚本已经停更两年了，刚好上周（2024年9月5日前后），银河麒麟发通稿介绍自己的加固工具，大致情况可参考如下链接：

图1 安装麒麟操作系统同时安装安全加固工具

笔者认为，其实应该默认就勾选安装，不要让系统管理员还要提醒自己要手工勾选安装。

比较奇怪的是，执行加固后工具给出的安全报告是空白的，如图2。

图2 加固后安全报告无内容

龙蜥仅指 OpenAnolis 社区版。

文档方面，OpenAnolis 项目释出了名为《Anolis OS 安全最佳实践》的加固指引文档，与 CIS Benchmarks 相似。

工具方面是随同加固指引文档释出了基于命令行操作的扫描和加固工具。地址如下：

https://gitee.com/anolis/security-benchmark

OpenAnolis 加固工具的特点是贴近 Linux 社区原生，与 OpenSCAP 有整合关系。

项目有持续更新，Release 不算频繁，最近一次是在2024-01-19 释出版本 1.5.1。

https://doc.chinauos.com/content/C-T8Vo8BZybsW1rIMzb9

发行注记的第2.4节对新版本的加固工具进行了功能描述。

安装运行 UOS 1070，运行加固工具，操作界面如图3：

图3 统信 UOS 加固工具 GUI 界面

执行加固操作后，可以查看到进行了哪些加固设置，如图4。

图4 统信 UOS 加固工具基线加固报告

欧拉体系也是社区和商业上下游版本的结合，所以笔者也只观察社区版 openEuler。

openEuler 在 gitee 上建立了项目，设立了 openEuler 安全委员会。openEuler 安全委员会创建并公开发布了《openEuler安全配置基线》，项目地址如下：

https://gitee.com/openeuler/security-committee

项目没有以具体到版本号的方式释出安全配置基线，其全文位于：

https://gitee.com/openeuler/security-committee/blob/master/secure-configuration-benchmark/release/

同时，openEuler 的文档网站有专门列出安全加固指南，例如：

https://docs.openeuler.org/zh/docs/22.03_LTS_SP2/docs/SecHarden/secHarden.html

但这个指南的内容组织方式......还不如直接看安全配置基线。

加固工具方面，openEuler 首先是通过内置的 openEuler-security 服务，配合按需要修改：

/etc/openEuler_security/usr-security.conf 

配置文件中的设置项实现加固。笔者觉得以服务方式实施加固的设计颇为特别，或者可以转化为未来实现持续审计的先行措施。

openEuler 也有一个安全中心加固工具子项目，地址：

https://gitee.com/openeuler/ks-ssr

但该项目没有独立释出版本，也没有随同发行版一起发行。

腾讯的 TencentOS 所知的人不多，关于该产品安全的说明位于：

https://cloud.tencent.com/document/product/1397/72782#Q14

TencentOS 主要面向的是云原生使用场景，产品声明了与 CentOS7 和 CentOS8 二进制兼容，因此CentOS/RHEL的加固措施可以直接应用其上。

作为甲方，如果只部署一种操作系统，那么安全加固信息的散落并不是什么问题。

但如果是多种操作系统混合部署的环境，要能持续跟踪获得安全加固信息，没有统一的来源那就会让人比较恼火了。

况且还不是都能直接通过操作系统本身的软件包更新而获得加固工具，加固指引文档的质量也各有千秋。

具体到命令行和 GUI 工具，笔者认为操作系统厂家必须是两种方式都能提供。

因为命令行方式可用于快速批量部署和部署后的定期审计，实现各种过程自动化。而 GUI 工具可以降低使用门槛，避免个别系统管理员因为学习曲线影响而引致放松甚至放弃执行安全加固。

还有就是加固工具应能就执行的加固设置输出完整的日志信息，以备进行审计和在需要时能手工还原。

国产化转型期，厂家需要为甲方提供功能设计上考虑得更周到的产品。

注：题头图由豆包生成。

• 微软披露：Office最新【零日漏洞】，可能导致数据泄露

• 【微软警告！】OpenVPN存在【漏洞】| 可能存在漏洞链

• 【爆！】堪比Windows蓝屏危机！| Linux被曝12年史诗级漏洞，“投毒者”是谷歌？

• 0.0.0.0 Day【漏洞】曝光 | 谷歌、Safari、火狐等主流浏览器面临威胁

• 核弹级【漏洞预警】Windows 远程桌面 | 授权服务远程代码执行漏洞(CVE-2024-38077)

• 【热点事件 | 技术分析】“微软蓝屏” 登顶微博热搜：全球多地Windows系统崩溃，杀毒软件 CrowdStrike 要背锅？

• CrowdStrike发布【微软蓝屏】事件 | 初步审查报告：内存读取越界错误导致

【原文来源：wavecn】

本文内容所包含内容仅限于学习和研究目的。这些内容源自公开的渠道搜集而来，目的是为帮助安全研究人员用于更好地理解和分析潜在的安全问题。

郑重提示：未经授权地利用可能涉及非法活动并导致法律责任和道德问题。请遵循适用的法律法规和道德准则。任何未经授权使用这些内容而导致的后果将由使用者自行承担。本文作者及安小圈不承担因使用本文内容而导致的任何法律问题、损害或责任。请详细阅读并理解这份免责声明。您将被视为已接受并同意遵守本免责声明所有条款和条件。

一周回顾
	定向网络攻击？ 供应链攻击？ 黎巴嫩【传呼机爆炸】 刷新【网络战】TTP
	【漏洞预警】 VMware vCenter Server 堆溢出漏洞（CVE-2024-38812）
	速查！ 甲骨文Weblogic服务器 被【黑客】入侵
	【头条】中秋夜 | 网安一哥【奇安信】全部站点服务宕机
	我国71个机构受到勒索攻击
	全球蓝屏后，微软将安全踢出Windows内核
	提升网络安全技能和意识，应常态化开展的4项网络安全演习
	《2024年巴黎奥运会基础设施攻击报告》 显示域名犯罪激增
	我的【个人信息】 咋就泄露了呢？
	【网安周】 “交友”变“劫财”？ 这些敏感个人信息保护方法要牢记→
	Windows 0-Day 漏洞 -(CVSS 9.8)  CVE-2024-43491
	阿里云机房着火超30个小时， 云服务宕机， AWS趁火打劫？
	《网络安全 (风险评估) 报告》 ——样例
	《网络数据安全管理条例》靴子落地 | 企业如何应对更严苛的 【合规】要求？
	数据资产： 数据合规评估指南
	【零信任】落地的理想应用场景： 【数据安全】防护
	揭开【社工库】的神秘面纱 | 裸奔的个人隐私
	网络安全【产业】 | 甲方弱，乙方菜，资本乱灌水
	中国【APT组织 攻击】国内贸易公司？ | 被控主机或来自【阿里云】！
	腾讯【微信】存在 可能导致远程代码执行【漏洞】
	隔离【网络攻击】新高度！ RAMBO攻击 | 利用隔离计算机中的 RAM 窃取数据
	【黑客】对【网络攻击】的流程 +手法(15类) | 如何防护 ？
	黑客通过 PWA 应用 窃取 iOS、Android 用户的 银行凭证
	【HVV】结束了， 裁员提上日程
	美国曝光 俄罗斯军方王牌黑客部队
	针对钉钉、微信MacOS用户的 大规模间谍活动‍
	防范间谍！ 使用这类【交友软件】需谨慎！
	小道消息： Telegram 的创建者如何 与情报部门秘密合作
	【HVV】 钓鱼佬思路全放送，拒绝空军！
	遭遇严重数据泄露后， 该公司宣布投入超6亿元 【升级安全】系统
	事关每个上网的你！ 这些【网络安全】常识 请记牢
	【针对中国】公务人员的 大规模【网络钓鱼】活动
	为什么会这样？ 国内【网安行业】的特点思考
	屏幕之下，危机四伏！ 揭秘【公共电子显示屏】背后的 【安全隐患】
	航空安全系统 曝【严重漏洞】， 黑客可绕过安检进入驾驶舱
	潜藏系统2个月未被发现 【新型网络攻击】 瞄准中国高价值目标
	如何向高管层展示： 网络安全意识的业务价值？
	【等保】 为什么要做等保测评？ 不做会怎样？ 怎么通过等保测评？ 2024最新攻略来了！
	《网络数据安全管理条例(草案)》 要点解读
	网传【HVV】 第一阶段结束： 常态化保障可以带来哪些改进？
	存在严重【供应链】安全风险， MLOps平台曝20多个漏洞！
	微信【重要公告】！ 这些朋友圈不能发
	新 Webkit 【漏洞】攻击者 |利用 PS4 和 PS5 游戏机： 发起攻击
	普通人 如何确保全家【上网安全】？ 实用防护秘诀全解
	【黑神话 被“黑”！】 |《黑神话：悟空》游戏平台 遭遇DDoS【攻击】： 导致全球多国玩家无法登录
	全国首例《黑神话：悟空》 【诈骗案】告破！
	从“网易云音乐崩了”事件 看【网络安全】
	【盘点】 十大「亿级」数据泄露 事件：个人信息还安全吗？
	自行车无线变速器 曝出【漏洞】 | 黑客可操纵比赛结果
	微信办公【泄密】的 四个高风险环节
	巴黎奥运会 | 期间共发生 超140起【网络攻击】事件
	【防诈】发现家中有这种“盒子”，请立即拆除！

‍

原文始发于微信公众号（安小圈）：【实操篇】国产操作系统【加固】措施汇总（202409）