Anolis社区发布首个AnolisOS安全指南,保护用户业务系统OS8安全最佳实践(下载链接见文末),基于AnolisOS8下游发布版阿里巴巴的安全经验和实践CloudLinux3和UOSServerv20大规模产品落地,兼容CIS(互联网安全中心)、Security2.0等安全标准的安全防护基本要求,以形式为社区用户提供配置各种安全功能的指南的安全基线,并帮助企业和组织对安全风险做出更清晰的决策。系统安全是业务安全稳定运行的重要基础之一。随着网络安全对抗的加剧,大规模自动攻击、蠕虫、勒索、APT等攻击形式逐渐增多。默认安装的系统可能存在端口配置不当、弱密码、安全策略配置薄弱、系统补丁缺失等系统配置不合理的问题,给业务系统的安全运行带来了极大的挑战。服务器和操作系统是云计算最基础、最重要的网络资产,其安全检查成为重中之重。系统配置安全问题通常是缓解威胁和降低风险的第一道防线。同时,随着企业国际化发展,信息安全合规管理趋于常态化,企业和组织的网络安全建设往往需要满足国家或监管机构的“安全标准”,如ClassSecurity2.0、CIS安全标准、GDPR等。结合这些安全合规要求,构建操作系统安全基线成为系统安全工程的第一步。AnolisOS8安全最佳实践的发布旨在为DragonLizard社区的用户提供详细、广泛、易于使用和可配置的最佳实践。配置最佳安全基线以减少由于安全控制不足而导致的安全风险的指南。最佳实践包括access-and-control,logging-and-auditing,services,system-configurations,mandatory-access-control,共150多条,每条安全指南都是社区中独立的markdown文件项目仓库发布维护,涵盖相应的安全级别、说明、修复建议、扫描检测等(详见文末链接)。AnolisOS8安全最佳实践将安全基线分为四个级别:第一级和第二级不影响系统的性能和易用性,同时第一级可以完成对系统的扫描检测和自动修复通过脚本进行错误配置,二级往往需要系统管理员进行人工检查和配置;第三级和第四级安全准则可能会对系统性能和易用性产生影响。两者的区别类似于二级和一级的区别。分级分级的定义方式可以支持用户根据实际安全需求选择实施不同安全级别的加固,更好的满足不同用户不同场景的配置安全基准要求。目前相应的代码仓库security-benchmark已经在gitee上开源,龙蜥社区7位开发者参与了安全基线的贡献。同时随着AnolisOS8SecurityBestPracticesv1.0.0的发布,相应的文档发布工具也开源了。该工具基于Python3实现,支持将多种安全基线的markdown文件转换合并为PDF格式发布文档。并且可以灵活配置组合发布的markdown文件,允许用户生成满足不同场景下不同安全需求的定制版本的安全基线标准。此外,结合AnolisOS的系统安全合规建设,下游发行版AlibabaCloudLinux2/3和UnionTechOSServerv20已于近期完成与国际知名安全社区OpenSCAP的产品支持集成,并成为国内首批OpenSCAP官方支持的操作系统产品。随着Anolis8安全最佳实践的发布,相关安全基线配置可以继续与OpenSCAP安全策略相结合,进一步繁荣Anolis社区的安全生态。?龙蜥社区(OpenAnolis)致力于为社区用户提供安全的操作系统开源发行版(AnolisOS)和安全的应用程序,结合经过充分测试和广泛验证的安全标准配置,为企业和组织实现更细粒度的安全控制提供支持。未来,我们期待更多的社区开发者参与到AnolisOS安全最佳实践基线的共同开发和完善中。围绕这份安全最佳实践指南,我们将进一步开发和充分验证相关的配置扫描和修复脚本,并结合安全工具集发布,支持系统安全配置的自动化验证和加固,帮助AnolisOS及其下游厂商更好地满足安全合规要求,降低安全风险。相关链接:1.AnolisOS8安全最佳实践下载:https://gitee.com/anolis/secu...2.最佳实践开发者指南链接地址:https://gitee.com/anolis/secu...3.Anolis安全最佳实践项目仓库:https://gitee.com/anolis/secu...4。文档工具链接地址:https://gitee.com/anolis/secu...——over--
