漏洞更新与安全加固
漏洞更新
ExaGear在发布之前会将涉及的Guest系统漏洞更新,保持与Guest OS的官网同步,在发布之后请用户自行根据Guest OS官方提供的补丁进行修复,例如CentOS的漏洞更新可参考官网(https://www.centos.org/)针对漏洞补丁的更新说明。涉及到ExaGear软件自身的漏洞修复,请通过鲲鹏社区获取ExaGear的最新进展。
安全加固
- 账户口令
- 文件权限
Linux将所有对象都当作文件来处理,即使一个目录也被看作是包含有多个其他文件的大文件。因此,Linux中最重要的就是文件和目录的安全性。文件和目录的安全性主要通过权限和属主来保证。
该默认策略对系统中的常用目录、可执行文件和配置文件设置了权限和属主。
/usr/bin/readelf、/usr/bin/objdump属于binutils rpm包,该rpm包被rpm-build、 kmod等依赖,因此ExaGear安装包中涉及到的Guest系统必需包含此工具。为了尽量避免安全风险,这些文件的权限建议设置为750,属主被设置为root。
另外,Guest系统中如下的文件和Host系统共享,其权限和属主与Host系统保持一致,用户若加固,建议从Host系统进行加固。其他与Host系统非共享的文件,可直接在Guset系统进行加固:
表1 各目录结构 etc目录
usr目录
其他目录
/etc/host.conf
/usr/share/icons/
/home/
/etc/hostname
/usr/share/pixmaps/
/root/
/etc/hosts
/usr/share/X11/
/proc/
/etc/hosts.allow
/dev/
/etc/hosts.deny
/sys/
/etc/hosts.equiv
/tmp/
/etc/resolvconf/
/run/
/etc/resolv.conf
/mnt/
/etc/yp.conf
/media/
/etc/nscd.conf
/var/log/
/etc/nslcd.conf
/var/lib/dbus/
/etc/nsswitch.conf
/etc/adduser.conf
/etc/deluser.conf
/etc/netgroup
/etc/netgroup-
/etc/group
/etc/group-
/etc/group+
/etc/passwd
/etc/passwd-
/etc/passwd+
/etc/gshadow
/etc/gshadow-
/etc/gshadow+
/etc/shadow
/etc/shadow-
/etc/shadow+
/etc/login.defs
/etc/machine-id
/etc/ldap.conf
/etc/ldap/
/etc/sudoers
/etc/sudoers.d/
/etc/securetty
/etc/fstab
/etc/fstab.d/
/etc/fuse.conf
/etc/mtab
/etc/mtab.fuselock
/etc/mtab.old
/etc/blkid.conf
/etc/blkid.tab
/etc/mke2fs.conf
/etc/services
/etc/protocols
/etc/security/
/etc/inputrc
