openEuler安全配置规范基线

# openEuler安全配置规范基线

## 概述
安全配置规范基线是对系统配置项的推荐安全配置的集合，包含一系列的配置要求或建议，各配置项之间相互独立或存在一定的关联关系。基于安全配置规范基线指导修改系统配置，可以显著提升系统的整体安全防护能力。
安全配置规范基线适用于openEuler操作系统，兼容各种架构平台。

## 声明
* 安全配置规范基线未覆盖系统安全的全部内容，满足所有安全配置规范基线的要求并不代表操作系统绝对安全；
* 部分安全配置规范基线与业务需要可能存在冲突（例如：基线要求系统中不应启用FTP等非安全传输协议，但客户业务存在必须使用FTP的场景），所以应按需选择和使用，并评估相应的安全风险；
* 规范基线仅用于指导用户基于自身不同的背景及需要，选择部分或全部内容对openEuler系统进行安全配置，从而提升系统基础安全能力，以满足各种审计、合规、安全研究、业务运营等的需要；
* 规范基线内容随社区发展不断补充完善，使用者可根据openEuler发行版本，选择和使用不同的安全配置规范基线版本；
* openEuler安全配置规范基线正处于开发建设过程中。

## 使用方法
### 文本
openEuler安全配置规范基线条目可以从如下地址获取：
https://gitee.com/flysubmarine/security-committee/tree/master/secure-configuration-benchmark
> **说明：**
>当前openEuler安全配置规范基线尚处于开发建设周期内，尚未完成，所以不随版本发布正式的规范文档。

文本规范主要的应用对象为openEuler系统的设计、开发、测试、维护人员，以及使用openEuler系统的业务运营人员、系统管理人员等。各从业人员可以基于文本描述，对系统进行配置加固或核查，以确定和提升系统的基础安全性，但配置规范基线文本内容仅是对操作系统众多配置项的配置要求和建议，鉴于使用场景不同，并不表示openEuler发行版本的实际配置必须同配置规范基线文本内容完全一致。

### 工具
openEuler基于开源能力，构建相应的安全配置规范核查能力，主要涉及如下两个开源软件：
1. openSCAP：[https://gitee.com/src-openeuler/openscap](https://gitee.com/src-openeuler/openscap)
2. scap-security-guide：[https://gitee.com/src-openeuler/scap-security-guide](https://gitee.com/src-openeuler/scap-security-guide)

上述开源工具随openEuler的ISO镜像发布，如果需要使用其对openEuler的配置安全进行核查，可按如下步骤进行操作：
1. 安装工具。
    ``` 
    # dnf install openscap -y
    # dnf install scap-security-guide -y
    ```
2. 调用oscap命令对当前系统进行核查，其中scan_results.xml和scan_report.html是核查结果文档，详细列出每一条规范的检查结果。
    ```
    # oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --results scan_results.xml --report scan_report.html /usr/share/xml/scap/ssg/content/ssg-openeuler2203-ds.xml
    ```
> **说明：**
>由于当前openEuler安全配置规范基线并未构建完成，所以当前工具仅能覆盖部分规范条目，其中有个别条目受限于技术及规范特点（如依赖于主观判断的条目），无法通过工具进行自动化核查，工具检查结果将显示notchecked。