漏洞更新与安全加固

漏洞更新

ExaGear在发布之前会将涉及的Guest系统漏洞更新，保持与Guest OS的官网同步，在发布之后请用户自行根据Guest OS官方提供的补丁进行修复，例如CentOS的漏洞更新可参考官网（https://www.centos.org/）针对漏洞补丁的更新说明。涉及到ExaGear软件自身的漏洞修复，请通过鲲鹏社区获取ExaGear的最新进展。

安全加固

• 账户口令

  Guest系统的系统账户共享自Host系统，权限与Host系统保持一致，用户若加固，建议从Host系统上进行加固。

• 文件权限

  Linux将所有对象都当作文件来处理，即使一个目录也被看作是包含有多个其他文件的大文件。因此，Linux中最重要的就是文件和目录的安全性。文件和目录的安全性主要通过权限和属主来保证。

  该默认策略对系统中的常用目录、可执行文件和配置文件设置了权限和属主。

  /usr/bin/readelf、/usr/bin/objdump属于binutils rpm包，该rpm包被rpm-build、 kmod等依赖，因此ExaGear安装包中涉及到的Guest系统必需包含此工具。为了尽量避免安全风险，这些文件的权限建议设置为750，属主被设置为root。

  另外，Guest系统中如下的文件和Host系统共享，其权限和属主与Host系统保持一致，用户若加固，建议从Host系统进行加固。其他与Host系统非共享的文件，可直接在Guset系统进行加固：

  表1 各目录结构

  etc目录	usr目录	其他目录
  /etc/host.conf	/usr/share/icons/	/home/
  /etc/hostname	/usr/share/pixmaps/	/root/
  /etc/hosts	/usr/share/X11/	/proc/
  /etc/hosts.allow		/dev/
  /etc/hosts.deny		/sys/
  /etc/hosts.equiv		/tmp/
  /etc/resolvconf/		/run/
  /etc/resolv.conf		/mnt/
  /etc/yp.conf		/media/
  /etc/nscd.conf		/var/log/
  /etc/nslcd.conf		/var/lib/dbus/
  /etc/nsswitch.conf
  /etc/adduser.conf
  /etc/deluser.conf
  /etc/netgroup
  /etc/netgroup-
  /etc/group
  /etc/group-
  /etc/group+
  /etc/passwd
  /etc/passwd-
  /etc/passwd+
  /etc/gshadow
  /etc/gshadow-
  /etc/gshadow+
  /etc/shadow
  /etc/shadow-
  /etc/shadow+
  /etc/login.defs
  /etc/machine-id
  /etc/ldap.conf
  /etc/ldap/
  /etc/sudoers
  /etc/sudoers.d/
  /etc/securetty
  /etc/fstab
  /etc/fstab.d/
  /etc/fuse.conf
  /etc/mtab
  /etc/mtab.fuselock
  /etc/mtab.old
  /etc/blkid.conf
  /etc/blkid.tab
  /etc/mke2fs.conf
  /etc/services
  /etc/protocols
  /etc/security/
  /etc/inputrc