操作系统的很多默认配置项,之所以这样设置是有原因的,稍微不慎,有可能会引起系统的安全问题。
https://wenku.baidu.com/view/47e8ec0c86c24028915f804d2b160b4e767f81f2.html?re=view
这里有一个文档,是华为的《linux安全应用指导》,列举了很多系统安全需要注意的事项。另外还有一些安全检查项,我们需要注意:
应对SSH服务进行加固,如下链接可以参考https://www.zfl9.com/ssh-security.html
应对系统中使用的不安全服务进行加固,对于系统中的不安全服务如NFS、FTP、RPC、squid等需进行加固,因为服务本身就存在安全问题,加固后可将风险降低。https://www.alibabacloud.com/help/zh/faq-detail/49809.htm
系统目录必须是安全可靠的,所有文件的权限需要严格审查,保障系统目录的安全和可靠性,
https://www.cnblogs.com/sun-sunshine123/p/7119472.html
另外,在版本发布时,我们还要对系统做CVE漏洞分析检查,检查工具可以参考https://cloud.tencent.com/developer/article/1079377,我们最好每次将CVE漏洞检查都列举出一个表格来,下次只需要做增量分析和检查就可以了,对于是否已经修复的漏洞,或者有无patch,我们都做上标记,不然下次分析起来又要做重复的事情。
我们给客户提供的安全资料应该有哪些呢?
1、系统所有的对外通信连接必须是系统运行和维护必需的,对使用到的通信端口在产品通信矩阵文档中说明,动态侦听端口必须限定确定的合理的范围。通过端口扫描工具验证,未在通信矩阵中列出的端口必须关闭。参考http://www.ha97.com/5520.html 协议与接口防攻击;
2、安全技术,告知用户,我们使用了哪些安全技术,有哪些安全维度(如访问控制,认证,不可否认性,数据机密性),安全准则(适度安全,最小授权),系统安全层(身份标识与鉴别,安全协议,自主访问控制,安全审计,主机防火墙,libvirt鉴权机制, grub加密)
3、安全加固策略,系统服务(ssh服务),文件权限,内核参数,授权认证(设置网络远程登录的警告信息,机制通过CTRL+ALT+DEL键重启系统, 设置终端 的自动退出时间,用户默认umask值为077,设置grub2加密口令,设置远程调用白名单),账户口令(屏蔽系统账户,设置口令复杂度、有效期、加密算法等),目录路径(删除无效路径)
4、服务清单,告知用户,系统中都存在哪些服务,服务的用户,相关联的信息等;进程清单,列出系统中的所有服务;个人数据说明;文件和目录权限含义;内核协议说明;安全检查扫描结果(即文章最开始提到的linux安全应用指导)