操作系统加固概述

    由于安全加固对系统至关重要,因此只有root用户允许修改并应用安全加固策略。

    操作系统作为信息系统的核心,承担着管理硬件资源和软件资源的重任,是整个信息系统安全的基础。操作系统之上的各种应用,要想获得信息的完整性、机密性、可用性和可控性,必须依赖于操作系统。脱离了对操作系统的安全保护,仅依靠其他层面的防护手段来阻止黑客和病毒等对网络信息系统的攻击,是无法满足安全需求的。

    因此,需要对操作系统进行安全加固,构建动态、完整的安全体系,增强产品的安全性,提升产品的竞争力。

    本章描述openEuler的安全加固方案,包括加固方式和加固内容。

    用户可以通过手动修改加固配置或执行相关命令对系统进行加固,也可以通过加固工具批量修改加固项。openEuler的安全加固工具security tool以openEuler-security.service服务的形式运行。系统首次启动时会自动运行该服务去执行默认加固策略,且自动设置后续开机不启动该服务。

    用户可以通过修改security.conf,使用安全加固工具实现个性化安全加固的效果。

    加固内容

    openEuler系统加固内容主要分为以下5个部分:

    • 系统服务
    • 内核参数
    • 授权认证
    • 账号口令

    对文件权限、账户口令等安全加固,可能造成用户使用习惯变更,从而影响系统的易用性。影响系统易用性的常见加固项请参见。

    表 1 加固影响说明