近日,龙蜥社区系统安全委员会SIG,联合阿里云、统信软件等 SIG 成员,基于最新 Anolis OS 发行版联合发布了 Anolis OS 8 安全最佳实践(下载链接见文末),该最佳实践基于 Anolis OS 8 下游发行版 Alibaba Cloud Linux 3 和 UOS Server v20 大规模产品落地的安全经验和实践进行打造,兼容 CIS(Center for Internet Security)、等保 2.0 等安全标准的安全保护基本要求,以安全基线的形式为社区用户提供配置各种安全功能的指南,帮助企业和组织对安全风险做出更清晰的决策。

系统安全是业务安全稳定运行的重要基础之一,随着网络安全对抗的愈演愈烈,规模化的自动攻击、蠕虫、勒索、APT 等攻击形式也逐渐增多,默认安装的系统可能存在端口配置不当、弱口令、安全策略配置弱、系统补丁缺失等系统配置不合理问题,给业务系统的安全运行带来很大的挑战。

服务器和操作系统作为云计算最基础也最重要的网络资产,其安全检查也成为重中之重,系统配置安全问题往往是缓解威胁、减少风险的第一道防线。同时,随着企业国际化的发展,信息安全合规管理成为常态化,企业和组织的网络安全建设往往需要满足来自国家或监管单位的“安全标准”,如等保 2.0、CIS 安全标准、GDPR 等等。结合这些安全合规要求,构建操作系统安全基线已经成为系统安全工程的首要步骤,Anolis OS 8 安全最佳实践的发布,旨在为龙蜥社区用户提供详细、广泛、易用、可配置的最佳安全基线配置指南,降低由于安全控制不足而引起的安全风险。

最佳实践包括 access-and-control、logging-and-auditing、services、 system-configurations、mandatory-access-control 五个方面共 150 多条内容,每一项安全指南都以一个独立的 markdown 文件在社区项目仓库进行发布与维护,并涵盖了对应的安全等级、描述、修复建议与扫描检测等内容(链接地址详见文末)。

Anolis OS 8 安全最佳实践将安全基线的等级分为四级:其中一、二级不影响系统的性能及易用性,同时,第一级能够通过脚本完成错误配置的扫描检测和自动化修复,第二级往往要求系统管理员的手动检查与配置;第三和第四级安全指南可能带来系统性能和易用性上的影响。二者的区别与第二级、第一级类似。采用分级分类的定义方式能够支持用户结合实际的安全需求选择实施不同安全等级的加固,并更好地满足对不同用户不同场景的配置安全基准要求。

目前对应的代码仓库 security-benchmark 已经在 gitee 上开源,当前已经有来自龙蜥社区的 7 名开发者参与了安全基线的贡献。同时随着 Anolis OS 8 安全最佳实践 v1.0.0 的发布,相应的文档发布工具也一并开源,该工具基于 Python 3 实现,支持将多个安全基线的 markdown 文件转换合并成 PDF 格式发布文档,并能够针对待发布的 markdown 文件组合进行灵活的配置,允许用户按需生成满足不同场景不同安全需求的定制版安全基线标准。

此外,结合龙蜥操作系统(Anolis OS)的体系化安全合规建设,下游发行版 Alibaba Cloud Linux 2/3 以及统信软件 UnionTech OS Server v20 近期先后完成与国际知名安全社区 OpenSCAP 的产品支持整合,并成为 OpenSCAP 官方首批支持的国内 OS 产品。随着 Anolis 8 安全最佳实践的发布,相关的安全基线配置能够持续与 OpenSCAP 安全策略进行结合,进一步繁荣龙蜥社区的安全生态。

‍龙蜥社区(OpenAnolis)致力于为社区用户提供安全的操作系统开源发行版(Anolis OS)和安全应用,并结合充分测试与广泛验证的安全标准配置为企业与组织更细粒度地实现安全控制提供支持。

未来我们期待更多的社区开发者能够参与 Anolis OS 安全最佳实践基线的共同开发和完善。围绕该安全最佳实践指南,我们还将进一步开发并充分验证相关的配置扫描和修复脚本,结合安全工具集进行发布以支持系统安全配置的自动化核查与加固,帮助 Anolis OS 及其下游厂商更好地满足安全合规的要求,降低安全风险。

相关链接:

1.Anolis OS 8 安全最佳实践下载:

https://gitee.com/anolis/secu...

2.最佳实践开发者指南链接地址:

https://gitee.com/anolis/secu...

3.Anolis 安全最佳实践项目仓库:

https://gitee.com/anolis/secu...

4.文档工具链接地址:

https://gitee.com/anolis/secu...

—— 完 ——


龙蜥社区
40 声望12 粉丝

OpenAnolis龙蜥社区由国内外头部企业联合建立的操作系统开源社区。