安全加固工具

加固操作

概述

安全加固工具会根据usr-security.conf设置加固策略,使用加固工具设置加固策略需要用户修改usr-security.conf。本节介绍usr-security.conf的修改规则。用户可配置的加固项请参见加固指导对应内容。

注意事项

  • 修改配置后,需要重启安全加固服务使配置生效。重启方法请参见加固生效对应内容。
  • 用户修改加固配置时,仅修改/etc/openEuler_security/usr-security.conf文件,不建议修改/etc/openEuler_security/security.conf。security.conf中为基本加固项,仅运行一次。
  • 当重启安全加固服务使配置生效后,在usr-security.conf中删除对应加固项并重启安全加固服务并不能清除之前的配置。
  • 安全加固操作记录在日志文件/var/log/openEuler-security.log中。

配置格式

usr-security.conf中的每一行代表一项配置,根据配置内容的不同有不同配置格式,这里给出各类配置的格式说明。

安全加固工具 - 图1 说明:
- 所有配置项以执行ID开头,执行ID仅为了方便用户识别配置内容,取值为正整数,由用户自行定义。
- 配置项的各内容之间使用@作为分隔符。
- 若实际配置内容中包含@,需要使用@@表示以和分隔符区分,例如实际内容为xxx@yyy,则配置为xxx@@yyy。目前不支持@位于配置内容的开头和结尾。

  • d:注释

    格式:执行ID@d@对象文件@匹配项

    功能:将对象文件中以匹配项开头(行首可以有空格)的行注释(在行首添加#)。

    示例:执行ID为401,注释/etc/sudoers文件中以%wheel开头的行。

    1. 401@d@/etc/sudoers@%wheel
  • m:替换

    格式:执行ID@m@对象文件@匹配项@替换目标值

    功能:将对象文件中以匹配项开头(行首可以有空格)的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格,替换后将删除这些空格。

    示例:执行ID为101,将/etc/ssh/sshd_config文件中以Protocol 开头的行替换为Protocol 2。匹配和替换时也会考虑Protocol后的空格。

    1. 101@m@/etc/ssh/sshd_config@Protocol @2
  • sm:精确修改

    格式:执行ID@sm@对象文件@匹配项@替换目标值

    功能:将对象文件中以匹配项开头(行首可以有空格)的行替换为“匹配项加替换目标值 ”。若匹配行开头有空格,替换后将保留这些空格,这是sm和m的区别。

    示例:执行ID为201,将/etc/audit/hzqtest文件中以size开头的行替换为size 2048。

    1. 201@sm@/etc/audit/hzqtest@size@ 2048
  • M:修改子项

    格式:执行ID@M@对象文件@匹配项@匹配子项[@匹配子项的值]

    功能:匹配对象文件中以匹配项开头(行首可以有空格)的行,并将该行中以匹配子项开始的内容替换为“匹配子项和匹配子项的值”,其中匹配子项的值可选。

    示例:执行ID为101,找到file文件中以key开头的行,并将这些行中以key2开始的内容替换为key2value2。

    1. 101@M@file@key@key2@value2
  • systemctl:管理服务

    格式:执行ID@systemctl@对象服务@具体操作

    功能:使用systemctl管理对象服务,具体操作可取值为start、stop、restart、disable等systemctl所有可用的命令。

    示例:执行ID为218,停止cups.service服务,等同于systemctl stop cups.service的配置行。

    1. 218@systemctl@cups.service@stop
  • 其他命令

    格式:执行ID@命令@对象文件

    功能:执行对应命令,即执行命令行“命令 对象文件”。

    示例一:执行ID为402,使用rm -f命令删除文件/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem。

    1. 402@rm -f @/etc/pki/ca-trust/extracted/pem/email-ca-bundle.pem

    示例二:执行ID为215,使用touch命令创建文件/etc/cron.allow。

    1. 215@touch @/etc/cron.allow

    示例三:执行ID为214,使用chown命令将文件/etc/at.allow的属主改为root:root。

    1. 214@chown root:root @/etc/at.allow

    示例四:执行ID为214,使用chmod命令去除文件/etc/at.allow属主所在群组及其他非属主用户的rwx权限。

    1. 214@chmod og-rwx @/etc/at.allow

加固生效

完成修改usr-security.conf文件后,请运行如下命令使新添加的配置生效。

  1. systemctl restart openEuler-security.service