---
title: "OS Hardening"
type: concept
tags:
  - Security
  - Linux
  - AWS
sources: []
last_updated: 2026-05-07
---

## OS Hardening

操作系统加固，通过关闭不必要服务、优化内核参数和应用安全补丁来减少系统攻击面。

## Definition

OS Hardening 是将操作系统配置为最小权限、最小攻击面的过程，是 Foundation AMI 安全加固的核心步骤。

## Key Areas

### 1. Service Reduction
- 禁用不必要的系统服务
- 关闭未使用的网络端口
- 移除不必要的软件包

### 2. Kernel Parameters
- 网络安全参数优化
- 文件系统权限加固
- 用户权限限制（最小权限原则）

### 3. Security Patching
- 操作系统安全补丁自动更新
- 内核更新管理
- 应用层安全补丁

### 4. Compliance Alignment
- 遵循 [[CIS-Benchmark]] 配置
- 满足企业安全策略
- 对接合规审计框架

## In Foundation AMI

Foundation AMI 的 OS Hardening 包括：
- 基于 [[CIS-Benchmark]] 的安全配置
- McAfee EPO 防病毒集成
- Syslog-ng 日志管理
- AD 单点登录集成
- [[AWS-SSM]] 自动化补丁管理

## Relationship with CIS Benchmark

OS Hardening 通常基于 [[CIS-Benchmark]]：
- [[CIS-Benchmark]] 提供配置检查清单
- OS Hardening 是实际执行这些配置的过程
- Foundation AMI 集成了经过 CIS 加固的操作系统

## Sources
- [[ctp-topic-26-standard-ami-build-publish-share-processes]] — Foundation AMI 中的 OS Hardening 实现