Auto-sync: 2026-04-28 20:03
This commit is contained in:
59
wiki/concepts/OS-Hardening.md
Normal file
59
wiki/concepts/OS-Hardening.md
Normal file
@@ -0,0 +1,59 @@
|
||||
---
|
||||
title: "OS Hardening"
|
||||
type: concept
|
||||
tags:
|
||||
- Security
|
||||
- Linux
|
||||
- AWS
|
||||
sources: []
|
||||
last_updated: 2026-05-07
|
||||
---
|
||||
|
||||
## OS Hardening
|
||||
|
||||
操作系统加固,通过关闭不必要服务、优化内核参数和应用安全补丁来减少系统攻击面。
|
||||
|
||||
## Definition
|
||||
|
||||
OS Hardening 是将操作系统配置为最小权限、最小攻击面的过程,是 Foundation AMI 安全加固的核心步骤。
|
||||
|
||||
## Key Areas
|
||||
|
||||
### 1. Service Reduction
|
||||
- 禁用不必要的系统服务
|
||||
- 关闭未使用的网络端口
|
||||
- 移除不必要的软件包
|
||||
|
||||
### 2. Kernel Parameters
|
||||
- 网络安全参数优化
|
||||
- 文件系统权限加固
|
||||
- 用户权限限制(最小权限原则)
|
||||
|
||||
### 3. Security Patching
|
||||
- 操作系统安全补丁自动更新
|
||||
- 内核更新管理
|
||||
- 应用层安全补丁
|
||||
|
||||
### 4. Compliance Alignment
|
||||
- 遵循 [[CIS-Benchmark]] 配置
|
||||
- 满足企业安全策略
|
||||
- 对接合规审计框架
|
||||
|
||||
## In Foundation AMI
|
||||
|
||||
Foundation AMI 的 OS Hardening 包括:
|
||||
- 基于 [[CIS-Benchmark]] 的安全配置
|
||||
- McAfee EPO 防病毒集成
|
||||
- Syslog-ng 日志管理
|
||||
- AD 单点登录集成
|
||||
- [[AWS-SSM]] 自动化补丁管理
|
||||
|
||||
## Relationship with CIS Benchmark
|
||||
|
||||
OS Hardening 通常基于 [[CIS-Benchmark]]:
|
||||
- [[CIS-Benchmark]] 提供配置检查清单
|
||||
- OS Hardening 是实际执行这些配置的过程
|
||||
- Foundation AMI 集成了经过 CIS 加固的操作系统
|
||||
|
||||
## Sources
|
||||
- [[ctp-topic-26-standard-ami-build-publish-share-processes]] — Foundation AMI 中的 OS Hardening 实现
|
||||
Reference in New Issue
Block a user