安全加固工具
加固操作
概述
安全加固工具会根据usr-security.conf设置加固策略,使用加固工具设置加固策略需要用户修改usr-security.conf。本节介绍usr-security.conf的修改规则。用户可配置的加固项请参见加固指导对应内容。
注意事项
- 修改配置后,需要重启安全加固服务使配置生效。重启方法请参见加固生效对应内容。
- 用户修改加固配置时,仅修改/etc/openEuler_security/usr-security.conf文件,不建议修改/etc/openEuler_security/security.conf。security.conf中为基本加固项,仅运行一次。
- 当重启安全加固服务使配置生效后,在usr-security.conf中删除对应加固项并重启安全加固服务并不能清除之前已生效的配置。
- 安全加固操作记录在日志文件/var/log/openEuler-security.log中。
配置格式
usr-security.conf中的每一行代表一项配置,根据配置内容的不同有不同配置格式,这里给出各类配置的格式说明。
说明:
- 所有配置项以执行ID开头,执行ID仅为了方便用户识别配置内容,取值为正整数,由用户自行定义。
- 配置项的各内容之间使用@作为分隔符。
- 若实际配置内容中包含@,需要使用@@表示以和分隔符区分,例如实际内容为xxx@yyy,则配置为xxx@@yyy。目前不支持@位于配置内容的开头和结尾。
d:注释。
格式:执行ID@d@对象文件@匹配项。
功能:将对象文件中以匹配项开头(行首可以有空格)的行注释(在行首添加#)。
示例:执行ID为401,注释/etc/sudoers文件中以%wheel开头的行。
401@d@/etc/sudoers@%wheel
m:替换。
格式:执行ID@m@对象文件@匹配项@替换目标值。
功能:将对象文件中以匹配项开头(行首可以有空格)的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格,替换后将删除这些空格。
示例:执行ID为101,将/etc/ssh/sshd_config文件中以Protocol 开头的行替换为Protocol 2。匹配和替换时也会考虑Protocol后的空格。
101@m@/etc/ssh/sshd_config@Protocol @2
sm:精确修改。
格式:执行ID@sm@对象文件@匹配项@替换目标值。
功能:将对象文件中以匹配项开头(行首可以有空格)的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格,替换后将保留这些空格,这是sm和m的区别。
示例:执行ID为201,将/etc/audit/hzqtest文件中以size开头的行替换为size 2048。
201@sm@/etc/audit/hzqtest@size@ 2048
M:修改子项。
格式:执行ID@M@对象文件@匹配项@匹配子项[@匹配子项的值]。
功能:匹配对象文件中以匹配项开头(行首可以有空格)的行,并将该行中以匹配子项开始的内容替换为“匹配子项和匹配子项的值”,其中匹配子项的值可选。
示例:执行ID为101,找到file文件中以key开头的行,并将这些行中以key2开始的内容替换为key2value2。
101@M@file@key@key2@value2
systemctl:管理服务。
格式:执行ID@systemctl@对象服务@具体操作。
功能:使用systemctl管理对象服务,具体操作可取值为start、stop、restart、disable等systemctl所有可用的命令。
示例:执行ID为218,停止cups.service服务,等同于systemctl stop cups.service的配置行。
218@systemctl@cups.service@stop
其他命令。
格式:执行ID@命令@对象文件。
功能:执行对应命令,即执行命令行“命令 对象文件”。
示例一:执行ID为402,使用rm -f命令删除文件/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem。
402@rm -f @/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem
示例二:执行ID为215,使用touch命令创建文件/etc/cron.allow。
215@touch @/etc/cron.allow
示例三:执行ID为214,使用chown命令将文件/etc/at.allow的属主改为root:root。
214@chown root:root @/etc/at.allow
示例四:执行ID为214,使用chmod命令去除文件/etc/at.allow属主所在群组及其他非属主用户的rwx权限。
214@chmod og-rwx @/etc/at.allow
加固生效
完成修改usr-security.conf文件后,请运行如下命令使新添加的配置生效。
systemctl restart openEuler-security.service