安全加固工具

安全加固工具
- 加固操作
- 加固生效

加固操作

概述

安全加固工具会根据usr-security.conf设置加固策略，使用加固工具设置加固策略需要用户修改usr-security.conf。本节介绍usr-security.conf的修改规则。用户可配置的加固项请参见加固指导对应内容。

注意事项

修改配置后，需要重启安全加固服务使配置生效。重启方法请参见加固生效对应内容。
用户修改加固配置时，仅修改/etc/openEuler_security/usr-security.conf文件，不建议修改/etc/openEuler_security/security.conf。security.conf中为基本加固项，仅运行一次。
当重启安全加固服务使配置生效后，在usr-security.conf中删除对应加固项并重启安全加固服务并不能清除之前已生效的配置。
安全加固操作记录在日志文件/var/log/openEuler-security.log中。

配置格式

usr-security.conf中的每一行代表一项配置，根据配置内容的不同有不同配置格式，这里给出各类配置的格式说明。

说明：
所有配置项以执行ID开头，执行ID仅为了方便用户识别配置内容，取值为正整数，由用户自行定义。
配置项的各内容之间使用@作为分隔符。
若实际配置内容中包含@，需要使用@@表示以和分隔符区分，例如实际内容为xxx@yyy，则配置为xxx@@yyy。目前不支持@位于配置内容的开头和结尾。

d：注释
格式：执行ID@d@对象文件@匹配项
功能：将对象文件中以匹配项开头（行首可以有空格）的行注释（在行首添加#）。
示例：执行ID为401，注释/etc/sudoers文件中以%wheel开头的行。
```
401@d@/etc/sudoers@%wheel
```
m：替换
格式：执行ID@m@对象文件@匹配项@替换目标值
功能：将对象文件中以匹配项开头（行首可以有空格）的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格，替换后将删除这些空格。
示例：执行ID为101，将/etc/ssh/sshd_config文件中以Protocol 开头的行替换为Protocol 2。匹配和替换时也会考虑Protocol后的空格。
```
101@m@/etc/ssh/sshd_config@Protocol @2
```
sm：精确修改
格式：执行ID@sm@对象文件@匹配项@替换目标值
功能：将对象文件中以匹配项开头（行首可以有空格）的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格，替换后将保留这些空格，这是sm和m的区别。
示例：执行ID为201，将/etc/audit/hzqtest文件中以size开头的行替换为size 2048。
```
201@sm@/etc/audit/hzqtest@size@ 2048
```
M：修改子项
格式：执行ID@M@对象文件@匹配项@匹配子项[@匹配子项的值]
功能：匹配对象文件中以匹配项开头（行首可以有空格）的行，并将该行中以匹配子项开始的内容替换为“匹配子项和匹配子项的值”，其中匹配子项的值可选。
示例：执行ID为101，找到file文件中以key开头的行，并将这些行中以key2开始的内容替换为key2value2。
```
101@M@file@key@key2@value2
```
systemctl：管理服务
格式：执行ID@systemctl@对象服务@具体操作
功能：使用systemctl管理对象服务，具体操作可取值为start、stop、restart、disable等systemctl所有可用的命令。
示例：执行ID为218，停止cups.service服务，等同于systemctl stop cups.service的配置行。
```
218@systemctl@cups.service@stop
```
其他命令
格式：执行ID@命令@对象文件
功能：执行对应命令，即执行命令行“命令对象文件”。
示例一：执行ID为402，使用rm -f命令删除文件/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem。
```
402@rm -f @/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem
```
示例二：执行ID为215，使用touch命令创建文件/etc/cron.allow。
```
215@touch @/etc/cron.allow
```
示例三：执行ID为214，使用chown命令将文件/etc/at.allow的属主改为root:root。
```
214@chown root:root @/etc/at.allow
```
示例四：执行ID为214，使用chmod命令去除文件/etc/at.allow属主所在群组及其他非属主用户的rwx权限。
```
214@chmod og-rwx @/etc/at.allow
```

加固生效

完成修改usr-security.conf文件后，请运行如下命令使新添加的配置生效。

systemctl restart openEuler-security.service

文档捉虫

“有虫”文档片段

问题描述

提交类型 issue

有点复杂...

找人问问吧。

小问题，全程线上修改...

一键搞定！

问题类型

规范和低错类

● 错别字或拼写错误；标点符号使用错误；

● 链接错误、空单元格、格式错误；

● 英文中包含中文字符；

● 界面和描述不一致，但不影响操作；

● 表述不通顺，但不影响理解；

● 版本号不匹配：如软件包名称、界面版本号；

易用性

● 关键步骤错误或缺失，无法指导用户完成任务；

● 缺少必要的前提条件、注意事项等；

● 图形、表格、文字等晦涩难懂；

● 逻辑不清晰，该分类、分项、分步骤的没有给出；

正确性

● 技术原理、功能、规格等描述和软件不一致，存在错误；

● 原理图、架构图等存在错误；

● 命令、命令参数等错误；

● 代码片段错误；

● 命令无法完成对应功能；

● 界面错误，无法指导操作；

风险提示

● 对重要数据或系统存在风险的操作，缺少安全提示；

内容合规

● 违反法律法规，涉及政治、领土主权等敏感词；

● 内容侵权；

我们可能针对您提出的问题，向您发送邮件反馈进行方案。如有获奖信息，也会通过此方式通知您。

您对文档的总体满意度

非常不满意

非常满意

您理解并同意，您填写并提交的内容，即视为您已充分阅读并同意openEuler的隐私声明

提交

根据您的反馈，会自动生成issue模板。您只需点击按钮，创建issue即可。