安全加固工具

    • 修改配置后,需要重启安全加固服务使配置生效。重启方法请参见加固生效对应内容。
    • 用户修改加固配置时,仅修改/etc/openEuler_security/usr-security.conf文件,不建议修改/etc/openEuler_security/security.conf。security.conf中为基本加固项,仅运行一次。
    • 安全加固操作记录在日志文件/var/log/openEuler-security.log中。

    usr-security.conf中的每一行代表一项配置,根据配置内容的不同有不同配置格式,这里给出各类配置的格式说明。

    • d:注释

      格式:执行ID@d@对象文件@匹配项

      功能:将对象文件中以匹配项开头(行首可以有空格)的行注释(在行首添加#)。

      示例:执行ID为401,注释/etc/sudoers文件中以%wheel开头的行。

    • m:替换

      格式:执行ID@m@对象文件@匹配项@替换目标值

      功能:将对象文件中以匹配项开头(行首可以有空格)的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格,替换后将删除这些空格。

    • M:修改子项

      格式:执行ID@M@对象文件@匹配项@匹配子项[@匹配子项的值]

      功能:匹配对象文件中以匹配项开头(行首可以有空格)的行,并将该行中以匹配子项开始的内容替换为“匹配子项和匹配子项的值”,其中匹配子项的值可选。

      示例:执行ID为101,找到file文件中以key开头的行,并将这些行中以key2开始的内容替换为key2value2。

    • systemctl:管理服务

      功能:使用systemctl管理对象服务,具体操作可取值为start、stop、restart、disable等systemctl所有可用的命令。

      示例:执行ID为218,停止cups.service服务,等同于systemctl stop cups.service的配置行。

    • 其他命令

      格式:执行ID@命令@对象文件

      功能:执行对应命令,即执行命令行“命令 对象文件”。

      示例一:执行ID为402,使用rm -f命令删除文件/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem。

      1. 402@rm -f @/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem

      示例二:执行ID为215,使用touch命令创建文件/etc/cron.allow。

      示例三:执行ID为214,使用chown命令将文件/etc/at.allow的属主改为root:root。

      示例四:执行ID为214,使用chmod命令去除文件/etc/at.allow属主所在群组及其他非属主用户的rwx权限。

      加固生效