前文再续,书接上一回。
笔者在写了《国产操作系统加固措施汇总(202409)》一文后,觉得文章内容还不够完整。
于是笔者创建了一个目录性质的开源项目,打算把当前用于服务器的国产操作系统的加固基准和加固工具都收录进去,方便查阅检索。
| 笔者: |
国际认证信息系统审计师(CISA) 软考系统分析师 软件工程硕士 |
先说项目地址:
https://gitee.com/SenderSu/China_OS_Security_Benchmarks
内容目录结构大致是设置了,但到了真正收录的时候,自己花了周五再加周末两天,翻遍了各个国产操作系统厂商的网站,发现:
还真没能再加进去多少信息。
也就是说,之前自己那篇公众号文章,几乎就是全部了!
| 加固基准从哪里来? |
在笔者看来,制订加固基准这事,不仅是填补空白那么简单,更关键的是:
厂商要自己为自己背书。
这要先说一下旧事。
在此之前,大部分厂商的国产操作系统,都会选择一个比较知名可靠的商业或社区发行版作为自己的上游,而且还会公开、大声地说,以示自己有可靠的技术背景渊源。
比如,深度deepin 是基于 Debian,龙蜥 Anolis 8是基于 CentOS/RHEL 8,优麒麟 Ubuntu Kylin 更不用说看名字就知道是基于乌班图 Ubuntu。
既然有这种继承和兼容关系,那么在加固这件事上,直接参照上游发行版的加固基准,也就是 CIS 组织召集各大厂商共同编制的加固基准 CIS Benchmarks,基本不会有问题。
但是:CISecurity.org 已经拒绝中国大陆 IP 地址访问
现在,想要从 CIS 拿到上游发行版的加固基准文档已经不容易了。
| 加固基准要厂商专属? |
或者会有读者插进来问:这加固基准为何不能有放之四海而皆准的通用版本?我看网上有很多通用的一键加固脚本啊?
清楚加固设置过程的读者就知道,不同的发行版,其使用的软件包会存在差异,不仅是版本差异,还可能选用的就是不同的软件包。
版本差异都有可能因为设置方式的不同而导致写好的但不够灵活的加固脚本失效(也就是环境适应能力不足),更何况软件包都不同,设置方式就可能完全不同。
这也是笔者之前文章:《高质运维:需要运维脚本软件的开发能力》里面强调的,运维脚本要和具体运行环境关联,具有环境敏感性的原因。
所以,加固基准必然就是和具体产品紧密相关,也就必须是厂商专属。
| 加固基准和信创替代? |
话说回来。随着信创替代的逐步推进,加上诸如 CentOS 7 停服,CentOS 改为 CentOS Stream 成为 RHEL 的上游等事件,现在国产操作系统厂商更多地开始标榜自己是:
基于 Linux 内核及核心组件构建,是最上游,而不是某个发行版的下游。
那就等于是,网络安全工作,就说做操作系统加固这个事,没有可直接参照的加固基准了。
既然如此,加固基准你们就得拿出来啊。等保二三四级各自怎么设置,其它更高阶和复杂的加固要求又该如何调参数?
只有厂商才最清楚自己的产品,任何其它人都不能代替厂商自己去背书加固设置结果的可靠性。
反过来看,如果都说了自己是最上游,但还能不加修改地直接参照某个发行版,比如 RHEL 的加固基准去做加固,那这国产操作系统就不仅是“保持对 CentOS/RHEL 的兼容性”那么简单了。
多少算是孪生兄弟关系了吧。
这样的最上游和自主,笔者觉得就不好评价了。
| 所以...... |
国产操作系统厂商你们还在等什么?
注:题头图由豆包生成。
点赞和转发都是免费的↓
还可以看看这些内容:
原文始发于微信公众号(wavecn):国产化替代:操作系统厂商需要加快制订加固基准
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论