操做系統交付時須要作哪些安全檢查項

操做系統的不少默認配置項，之因此這樣設置是有緣由的，稍微不慎，有可能會引發系統的安全問題。

https://wenku.baidu.com/view/47e8ec0c86c24028915f804d2b160b4e767f81f2.html?re=view

這裏有一個文檔，是華爲的《linux安全應用指導》，列舉了不少系統安全須要注意的事項。另外還有一些安全檢查項，咱們須要注意：

應對SSH服務進行加固，以下連接能夠參考https://www.zfl9.com/ssh-security.html

應對系統中使用的不安全服務進行加固，對於系統中的不安全服務如NFS、FTP、RPC、squid等需進行加固，由於服務自己就存在安全問題，加固後可將風險下降。https://www.alibabacloud.com/help/zh/faq-detail/49809.htm

系統目錄必須是安全可靠的，全部文件的權限須要嚴格審查，保障系統目錄的安全和可靠性，

http://www.javashuo.com/article/p-pneustcw-s.html

 

    另外，在版本發佈時，咱們還要對系統作CVE漏洞分析檢查，檢查工具能夠參考https://cloud.tencent.com/developer/article/1079377，咱們最好每次將CVE漏洞檢查都列舉出一個表格來，下次只須要作增量分析和檢查就能夠了，對因而否已經修復的漏洞，或者有無patch，咱們都作上標記，否則下次分析起來又要作重複的事情。

    咱們給客戶提供的安全資料應該有哪些呢？

一、系統全部的對外通訊鏈接必須是系統運行和維護必需的，對使用到的通訊端口在產品通訊矩陣文檔中說明，動態偵聽端口必須限定肯定的合理的範圍。經過端口掃描工具驗證，未在通訊矩陣中列出的端口必須關閉。參考http://www.ha97.com/5520.html 協議與接口防攻擊；

二、安全技術，告知用戶，咱們使用了哪些安全技術，有哪些安全維度（如訪問控制，認證，不能否認性，數據機密性），安全準則（適度安全，最小受權），系統安全層（身份標識與鑑別，安全協議，自主訪問控制，安全審計，主機防火牆，libvirt鑑權機制， grub加密）

三、安全加固策略，系統服務（ssh服務），文件權限，內核參數，受權認證（設置網絡遠程登陸的警告信息，機制經過CTRL+ALT+DEL鍵重啓系統， 設置終端 的自動退出時間，用戶默認umask值爲077，設置grub2加密口令，設置遠程調用白名單），帳戶口令（屏蔽系統帳戶，設置口令複雜度、有效期、加密算法等），目錄路徑（刪除無效路徑）

四、服務清單，告知用戶，系統中都存在哪些服務，服務的用戶，相關聯的信息等；進程清單，列出系統中的全部服務；我的數聽說明；文件和目錄權限含義；內核協議說明；安全檢查掃描結果（即文章最開始提到的linux安全應用指導）