查看原文
其他

龙蜥社区发布首个 Anolis OS 安全指南 为用户业务系统保驾护航

龙蜥运营 OpenAnolis龙蜥 2022-10-17

近日,龙蜥社区系统安全委员会SIG,联合阿里云、统信软件等 SIG 成员,基于最新 Anolis OS 发行版联合发布了 Anolis OS 8 安全最佳实践下载链接见文末),该最佳实践基于 Anolis OS 8 下游发行版 Alibaba Cloud Linux 3 和 UOS Server v20 大规模产品落地的安全经验和实践进行打造,兼容 CIS(Center for Internet Security)、等保 2.0 等安全标准的安全保护基本要求,以安全基线的形式为社区用户提供配置各种安全功能的指南,帮助企业和组织对安全风险做出更清晰的决策。

系统安全是业务安全稳定运行的重要基础之一,随着网络安全对抗的愈演愈烈,规模化的自动攻击、蠕虫、勒索、APT 等攻击形式也逐渐增多,默认安装的系统可能存在端口配置不当、弱口令、安全策略配置弱、系统补丁缺失等系统配置不合理问题,给业务系统的安全运行带来很大的挑战。

服务器和操作系统作为云计算最基础也最重要的网络资产,其安全检查也成为重中之重,系统配置安全问题往往是缓解威胁、减少风险的第一道防线。同时,随着企业国际化的发展,信息安全合规管理成为常态化,企业和组织的网络安全建设往往需要满足来自国家或监管单位的“安全标准”,如等保 2.0、CIS 安全标准、GDPR 等等。结合这些安全合规要求,构建操作系统安全基线已经成为系统安全工程的首要步骤,Anolis OS 8 安全最佳实践的发布,旨在为龙蜥社区用户提供详细、广泛、易用、可配置的最佳安全基线配置指南,降低由于安全控制不足而引起的安全风险。

最佳实践包括 access-and-control、logging-and-auditing、services、 system-configurations、mandatory-access-control 五个方面共 150 多条内容,每一项安全指南都以一个独立的 markdown 文件在社区项目仓库进行发布与维护,并涵盖了对应的安全等级、描述、修复建议与扫描检测等内容(链接地址详见文末)

Anolis OS 8 安全最佳实践将安全基线的等级分为四级:其中一、二级不影响系统的性能及易用性,同时,第一级能够通过脚本完成错误配置的扫描检测和自动化修复,第二级往往要求系统管理员的手动检查与配置;第三和第四级安全指南可能带来系统性能和易用性上的影响。二者的区别与第二级、第一级类似。采用分级分类的定义方式能够支持用户结合实际的安全需求选择实施不同安全等级的加固,并更好地满足对不同用户不同场景的配置安全基准要求。

目前对应的代码仓库 security-benchmark 已经在 gitee 上开源,当前已经有来自龙蜥社区的 7 名开发者参与了安全基线的贡献。同时随着 Anolis OS 8 安全最佳实践 v1.0.0 的发布,相应的文档发布工具也一并开源,该工具基于 Python 3 实现,支持将多个安全基线的 markdown 文件转换合并成 PDF 格式发布文档,并能够针对待发布的 markdown 文件组合进行灵活的配置,允许用户按需生成满足不同场景不同安全需求的定制版安全基线标准。

此外,结合龙蜥操作系统(Anolis OS)的体系化安全合规建设,下游发行版 Alibaba Cloud Linux 2/3 以及统信软件  UnionTech OS Server v20 近期先后完成与国际知名安全社区 OpenSCAP 的产品支持整合,并成为 OpenSCAP 官方首批支持的国内 OS 产品。随着 Anolis 8 安全最佳实践的发布,相关的安全基线配置能够持续与 OpenSCAP 安全策略进行结合,进一步繁荣龙蜥社区的安全生态。

‍龙蜥社区(OpenAnolis)致力于为社区用户提供安全的操作系统开源发行版(Anolis OS)和安全应用,并结合充分测试与广泛验证的安全标准配置为企业与组织更细粒度地实现安全控制提供支持。

未来我们期待更多的社区开发者能够参与 Anolis OS 安全最佳实践基线的共同开发和完善。围绕该安全最佳实践指南,我们还将进一步开发并充分验证相关的配置扫描和修复脚本,结合安全工具集进行发布以支持系统安全配置的自动化核查与加固,帮助 Anolis OS 及其下游厂商更好地满足安全合规的要求,降低安全风险。

相关链接:

1.Anolis OS 8 安全最佳实践下载(或阅读原文直达)

https://gitee.com/anolis/security-benchmark/releases

2.最佳实践开发者指南链接地址:

https://gitee.com/anolis/security-benchmark/blob/master/docs/development-guide.md3.Anolis 安全最佳实践项目仓库https://gitee.com/anolis/security-benchmark

4.文档工具链接地址:

https://gitee.com/anolis/security-benchmark/tree/master/tools/release

—— 完 ——

加入龙蜥社群

加入微信群:添加社区助理-龙蜥社区小龙(微信:openanolis_assis),备注【龙蜥】与你同在;加入钉钉群:扫描下方钉钉群二维码。欢迎开发者/用户加入龙蜥社区(OpenAnolis)交流,共同推进龙蜥社区的发展,一起打造一个活跃的、健康的开源操作系统生态!

关于龙蜥社区龙蜥社区(OpenAnolis)由企事业单位、高等院校、科研单位、非营利性组织、个人等在自愿、平等、开源、协作的基础上组成的非盈利性开源社区。龙蜥社区成立于 2020 年 9 月,旨在构建一个开源、中立、开放的Linux 上游发行版社区及创新平台。

龙蜥社区成立的短期目标是开发龙蜥操作系统(Anolis OS)作为 CentOS 停服后的应对方案,构建一个兼容国际 Linux 主流厂商的社区发行版。中长期目标是探索打造一个面向未来的操作系统,建立统一的开源操作系统生态,孵化创新开源项目,繁荣开源生态。

目前,Anolis OS 8.6 已发布,更多龙蜥自研特性,支持 X86_64 、RISC-V、Arm64、LoongArch 架构,完善适配 Intel、兆芯、鲲鹏、龙芯等芯片,并提供全栈国密支持。

欢迎下载:

https://openanolis.cn/download

加入我们,一起打造面向未来的开源操作系统!

https://openanolis.cn

往期精彩推荐

1.龙蜥下游发行版 Alinux 和 UOS 成为 OpenSCAP 官方首批支持的国内 OS

2.云原生、Intel Arch及云原生机密计算 3 大 SIG 在线分享!
3.龙蜥开发者说:社区首个支持 LoongArch架构的操作系统构建之路  | 第 9 期
4.爱奇艺加入龙蜥社区,携手打造多元化视频生态底座
5.龙蜥社区招募推广大使&体验官啦!| 人人都可以参与开源

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存