60 lines
1.4 KiB
Markdown
60 lines
1.4 KiB
Markdown
---
|
||
title: "OS Hardening"
|
||
type: concept
|
||
tags:
|
||
- Security
|
||
- Linux
|
||
- AWS
|
||
sources: []
|
||
last_updated: 2026-05-07
|
||
---
|
||
|
||
## OS Hardening
|
||
|
||
操作系统加固,通过关闭不必要服务、优化内核参数和应用安全补丁来减少系统攻击面。
|
||
|
||
## Definition
|
||
|
||
OS Hardening 是将操作系统配置为最小权限、最小攻击面的过程,是 Foundation AMI 安全加固的核心步骤。
|
||
|
||
## Key Areas
|
||
|
||
### 1. Service Reduction
|
||
- 禁用不必要的系统服务
|
||
- 关闭未使用的网络端口
|
||
- 移除不必要的软件包
|
||
|
||
### 2. Kernel Parameters
|
||
- 网络安全参数优化
|
||
- 文件系统权限加固
|
||
- 用户权限限制(最小权限原则)
|
||
|
||
### 3. Security Patching
|
||
- 操作系统安全补丁自动更新
|
||
- 内核更新管理
|
||
- 应用层安全补丁
|
||
|
||
### 4. Compliance Alignment
|
||
- 遵循 [[CIS-Benchmark]] 配置
|
||
- 满足企业安全策略
|
||
- 对接合规审计框架
|
||
|
||
## In Foundation AMI
|
||
|
||
Foundation AMI 的 OS Hardening 包括:
|
||
- 基于 [[CIS-Benchmark]] 的安全配置
|
||
- McAfee EPO 防病毒集成
|
||
- Syslog-ng 日志管理
|
||
- AD 单点登录集成
|
||
- [[AWS-SSM]] 自动化补丁管理
|
||
|
||
## Relationship with CIS Benchmark
|
||
|
||
OS Hardening 通常基于 [[CIS-Benchmark]]:
|
||
- [[CIS-Benchmark]] 提供配置检查清单
|
||
- OS Hardening 是实际执行这些配置的过程
|
||
- Foundation AMI 集成了经过 CIS 加固的操作系统
|
||
|
||
## Sources
|
||
- [[ctp-topic-26-standard-ami-build-publish-share-processes]] — Foundation AMI 中的 OS Hardening 实现
|