general/hwsecurity/cybersecurity三种类型的差异 检查项类型 检查项名称 检查内容 general hwsecurity cybersecurity default 初始配置 文件系统配置 应当对系统关键目录进行分区挂载 - - - - 确保禁用不需要的文件系统 - - - - 确保无需修改的分区以只读方式挂载 - - - - 确保无需挂载设备的分区以nodev方式挂载 - - - - 确保无可执行文件的分区以noexec方式挂载 - - - - 确保无需SUID和SGID的分区以nosuid方式挂载 - - - - 避免使用USB存储 〇 - - √ 软件服务配置 禁止安装X Window系统 - - - √ 禁止启用debug-shell服务 〇 - - √ 禁止启用rsync服务 〇 - - √ 禁止启用avahi服务 〇 〇 - √ 禁止启用SNMP服务 〇 〇 - √ 禁止启用squid服务 〇 〇 - √ 避免启用samba服务 〇 〇 - √ 禁止启用FTP服务 〇 〇 - √ 禁止启用TFTP服务 〇 〇 - √ 禁止启用DNS服务 〇 - - √ 禁止启用NFS服务 〇 〇 - √ 禁止启用rpcbind服务 〇 〇 〇 - 禁止启用LDAP服务 〇 〇 - √ 禁止启用DHCP服务 〇 〇 - √ 禁止安装CUPS服务软件 - - - √ 禁止安装NIS服务软件 - - - √ 禁止安装telnet软件 - - - √ 禁止安装NIS客户端 - - - √ 禁止安装LDAP客户端 - - - √ 禁止安装调测类工具 - - - √ 禁止安装开发编译类工具 - - - √ 禁止安装网络嗅探类工具 - - - √ 软件升级配置 确保配置GPG公钥 - - - √ 确保配置启用gpgcheck - - - √ 确保配置软件仓库源 - - - √ 文件完整性检查 确保安装AIDE - - - - 应当定期检查文件完整性 - - - - 通用进程加固 确保启用ASLR 〇 - - √ 确保core dump配置正确 〇 - - √ 应当合理限制用户可打开文件数量 - - - - 确保链接文件保护配置正确 〇 - - √ 确保dmesg访问权限配置正确 〇 〇 - - 确保内核符号地址受限访问 〇 〇 - √ 应当合理限制进程ptrace能力 - - - - 禁止全局加解密策略配置为LEGACY - - - √ 系统服务 时间同步服务 应当正确配置ntpd服务 - - - - 应当正确配置chronyd服务 - - - √ 定时任务服务 确保cron服务正常运行 〇 - - √ 确保cron配置权限正确 〇 〇 - - SSH服务 确保/etc/ssh/sshd_config权限配置正确 〇 〇 - √ 确保SSH私钥文件权限配置正确 〇 〇 〇 - 确保SSH公钥文件权限配置正确 〇 〇 〇 - 确保启用IgnoreRhosts 〇 - - √ 应当合理配置认证黑白名单 - - - - 确保SSH使能PAM认证 〇 - - √ 禁止SSH root登录 - - 〇 - 禁止SSH空口令登录 〇 - - √ 禁止使用HostbasedAuthentication 〇 - - √ 确保配置Warning Banner文件路径 〇 〇 - - 确保正确配置SSH日志级别 〇 〇 - √ 应当配置SSH服务侦听IP - - - - 应当正确配置SSH并发未认证连接数 〇 - - - 禁止使用X11Forwarding 〇 〇 - - 应当配置SSH MaxSessions不超过10 〇 - - √ 应当正确配置MaxAuthTries 〇 - - - 禁止使用PermitUserEnvironment 〇 - - √ 应当配置LoginGraceTime不超过60秒 〇 〇 - - 确保配置空闲超时间隔时间 〇 〇 - - 禁止使用AllowTcpForwarding 〇 〇 - - 确保SSH KexAlgorithms配置强算法 〇 〇 - √ 确保SSH MACs配置强算法 〇 〇 - √ 确保SSH Ciphers配置强算法 〇 〇 - √ 禁止配置SSH将弃用的选项 〇 - - √ 网络服务 禁用不使用的网络协议和设备 避免使用不常见网络协议 - - - - 避免使用无线网络 - - - √ 内核网络协议栈 禁止系统响应ICMP广播报文 〇 〇 - √ 禁止接收ICMP重定向报文 〇 〇 - - 禁止转发ICMP重定向报文 〇 - - √ 应当忽略所有ICMP请求 - - - - 确保忽略伪造的ICMP报文 〇 - - √ 确保启用反向地址过滤 〇 〇 - - 禁止IP转发 〇 〇 - √ 禁止接收源路由报文 〇 〇 - - 确保启用TCP-SYN cookie保护 〇 〇 - √ 应当启用日志记录可疑的网络包 〇 - - - 避免启用tcp_timestamps - - - - 确保TIME_WAIT TCP协议等待时间已配置 〇 - - √ 应当合理配置SYN_RECV状态队列数量 - - - - 禁止使用ARP代理 - - - √ 防火墙配置 配置firewalld服务 应当启用firewalld服务 - - - √ 确保iptables未启用 - - - √ 确保nftables未启用 - - - √ 应当配置正确的默认区域 - - - - 应当确保网络接口绑定正确区域 - - - - 避免开启不必要的服务和端口 - - - - 配置iptables服务 应当启用iptables服务 - - - - 确保firewalld未启用 - - - - 确保nftables未启用 - - - √ 应当正确配置iptables默认拒绝策略 - - - - 应当正确配置iptables loopback策略 - - - - 应当正确配置iptables INPUT策略 - - - - 应当正确配置iptables OUTPUT策略 - - - - 应当正确配置iptables INPUT、OUTPUT关联策略 - - - - 配置nftables服务 应当启用nftables服务 - - - - 确保iptables未启用 - - - √ 确保firewealld未启用 - - - - 应当配置nftables默认拒绝策略 - - - - 应当配置nftables loopback策略 - - - - 应当正确配置nftables input策略 - - - - 应当正确配置nftables output策略 - - - - 应当正确配置nftables input、output关联策略 - - - - 日志审计 auditd 确保auditd审计已启用 〇 - - √ 应当在启动阶段启用auditd - - - - 应当正确配置audit_backlog_limit - - - - 确保配置单个日志大小限制 - - - √ 确保审计日志rotate已启用 - - - - 确保审计日志不被自动删除 - - - √ 应当合理配置磁盘空间阈值 - - - √ 避免配置审计日志限速阈值过小 - - - √ 应当配置sudoers审计规则 - 〇 〇 - 应当配置登录审计规则 - - - √ 应当配置会话审计规则 - - - √ 应当配置时间修改审计规则 - 〇 〇 - 应当配置SELinux审计规则 - - - - 应当配置网络环境审计规则 - - 〇 - 应当配置文件访问控制权限审计规则 - - - - 应当配置文件访问失败审计规则 - - - - 应当配置文件删除审计规则 - - - - 应当配置账号信息修改审计规则 - 〇 〇 - 应当配置文件系统挂载审计规则 - - - - 应当配置提权命令审计规则 - - - - 应当配置内核模块变更审计规则 - - - √ 应当配置修改sudo日志文件审计规则 - - - - rsyslog 确保rsyslog服务已启用 〇 〇 〇 - 确保系统认证相关事件日志已记录 - - - √ 确保cron服务日志已记录 〇 - - √ 应当正确配置各服务日志记录 - - - √ 应当正确配置rsyslog默认文件权限 〇 〇 〇 - 确保rsyslog日志rotate已配置 - - - - 应当配置发送日志到远程日志服务器 - - - - 应当仅在指定的日志主机上接收远程rsyslog消息 - - - - 确保rsyslog转储journald日志已配置 - - - - 账号与口令管理 账号管理 禁止无需登录的账号拥有登录能力 - - - - 禁止存在不使用的账号 - - - - 应当正确设置账号有效期 - - - - 禁止存在UID为0的非root账号 - - - √ 确保UID唯一 - - - √ 确保GID唯一 - - - √ 确保账号名唯一 - - - √ 确保组名唯一 - - - √ 确保/etc/passwd中的组都存在 - - - √ 确保账号拥有自己的Home目录 - - - √ 确保账号Home目录权限是750或更严格 - - - √ 避免账号Home目录下存在.forward文件 - - - √ 避免账号Home目录下存在.netrc文件 - - - √ 确保用户PATH变量被严格定义 - - - √ 口令管理 确保配置口令复杂度 〇 〇 〇 - 确保限制重用历史口令次数 〇 〇 〇 - 确保口令中不包含账号字符串 - - - √ 确保口令使用SHA512算法加密 〇 〇 〇 - 确保口令过期时间设置正确 〇 〇 〇 - 确保口令过期告警时间设置正确 〇 〇 - √ 应当设置口令修改周期设置正确 〇 〇 〇 - 确保不活跃口令锁定时间不超过30天 〇 - - √ 确保Grub已设置口令保护 - - - √ 确保单用户模式已设置口令保护 - - - √ 身份认证 登录管理 确保登录失败一定次数后锁定账号 〇 〇 〇 - 避免root用户本地接入系统 - - - - 确保会话超时时间设置正确 〇 〇 〇 - 确保Warning Banner包含合理的信息 确保本地登录Warning Banner包含合理的信息 〇 〇 - - 确保远程登录Warning Banner包含合理的信息 〇 〇 - - 确保motd文件包含合理的信息 〇 〇 - - 确保/etc/issue权限配置正确 〇 〇 - √ 确保/etc/issue.net权限配置正确 〇 〇 - √ 确保/etc/motd权限配置正确 〇 〇 - √ 访问控制 SELinux 应当启用enforce模式 - - - √ 应当正确配置SELinux策略 - - - √ 避免标签为unconfined_service_t的服务存在 - - - - 确保SETroubleshoot服务未安装 - - - √ 确保M CS 转换服务未安装 - - - √ 特权命令 确保su受限使用 〇 〇 〇 - 确保su命令继承用户环境变量不会引入提权 〇 〇 〇 - 确保普通用户通过sudo运行特权程序 - - - - 确保配置sudo日志文件 〇 - - - 禁止使用SysRq键 - 〇 - - 系统文件权限 确保/etc/passwd权限配置正确 〇 - - √ 确保/etc/passwd-权限配置正确 〇 - - √ 确保/etc/shadow权限配置正确 〇 - - √ 确保/etc/shadow-权限配置正确 〇 - - √ 确保/etc/group权限配置正确 〇 - - √ 确保/etc/group-权限配置正确 〇 - - √ 确保/etc/gshadow权限配置正确 〇 - - √ 确保/etc/gshadow-权限配置正确 〇 - - √ 确保全局可写目录已设置sticky位 - - - √ 禁止存在无属主或属组的文件或目录 - - - √ 禁止存在全局可写的文件 - - - √ 禁止存在空链接文件 - - - √ 禁止存在隐藏的可执行文件 - - - √ 确保删除文件非必要的SUID和SGID位 - - - √ 确保umask是027或更严格 〇 〇 〇 - “√”表示默认满足。 “〇”表示执行。 “-”表示不执行。

约束限制 仅HCE OS 2.0 x86架构支持使用毕昇编译器。 HCE OS原生的clang编译语言和毕昇编译器提供的clang编译语言不能同时使用。如果您已经安装原生的clang编译语言并需要使用它，就不能安装毕昇编译器。 在安装了毕昇编译器之后，如果需要使用原生的clang编译语言，可执行rpm -e bisheng-compiler命令删除毕昇编译器，然后打开新终端。在新终端中，就可以使用原生的clang编译语言。

安装毕昇编译器 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base] name=HCE $releasever base baseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/ enabled=1 gpgcheck=1 gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2 [updates] name=HCE $releasever updates baseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/ ...... 执行yum install bisheng-compiler命令安装工具。 执行source /usr/local/bisheng-compiler/env.sh命令，导入环境变量。 如果打开了新的终端，需要在新的终端重新导入环境变量才能正常使用毕昇编译器。 检查工具是否安装成功。 执行clang -v查看工具的版本号。若返回结果包含毕昇编译器版本信息，表示工具安装成功。

使用毕昇编译器 编译运行C/C++程序。 clang [command line flags] hello.c -o hello.o ./hello.o clang++ [command line flags] hello.cpp -o hello.o ./hello.o 编译运行Fortran程序。 flang [command line flags] hello.f90 -o hello.o ./hello.o 指定链接器。 毕昇编译器指定的链接器是LLVM的lld，若不指定它则使用默认的ld。 clang [command line flags] -fuse-ld=lld hello.c -o hello.o ./hello.o

安装工具 确认repo源配置正常。 请检查默认的/etc/yum.repos.d/hce.repo配置文件中参数是否正确，正确的配置如下。 [base] name=HCE $releasever base baseurl=https://repo.huaweicloud.com/hce/$releasever/os/$basearch/ enabled=1 gpgcheck=1 gpgkey=https://repo.huaweicloud.com/hce/$releasever/os/RPM-GPG-KEY-HCE-2 [updates] name=HCE $releasever updates baseurl=https://repo.huaweicloud.com/hce/$releasever/updates/$basearch/ ...... 执行yum install file-drop-cache-tool命令安装fileDropCache软件包。 执行fileDropCache -h命令验证软件包是否正确安装。

相关命令 命令 命令说明 fileDropCache -q file_path [offset] 查看某个文件的缓存信息。 【参数说明】 file_path：文件路径 offset：可选参数，不指定offset时，查看该文件的缓存信息；指定offset时，查看文件某一页的缓存信息。 必须为一个unsignedlong类型的正整数，最小值是0。 offset值为0时，查询第1页的缓存信息。 如果指定的offset超出文件页面最大的页数，则提示告警信息。 【输出结果】 [root@hce2 ~]# fileDropCache -q /etc/test/test1 Show pages Resident Pages/Total Pages: 2/2 8K/8K 100% Resident Pages/Total Pages按三个维度显示结果： 当前占用缓存的页数/总页数 当前占用缓存/总缓存 比值 说明： 显示结果中页数取值向上取整。如一个文件大小是9.1K，页大小为4K，总页数则为9.1K/4K，向上取整为3；显示内存大小为3*4K，即12K。示例如下： [root@hce2 ~]# fileDropCache -q /etc/test/test2 Show pages Resident Pages/Total Pages: 3/3 12K/12K 100% fileDropCache -e file_path [offset] 清除某个文件指定页的缓存。 【参数说明】 file_path：文件路径 offset：可选参数，不指定offset时，清除该文件的缓存信息；指定offset时，清除文件某一页的缓存信息。 必须为一个unsignedlong类型的正整数，最小值是0。 offset值为0时，清楚第1页的缓存信息。 如果指定的offset超出文件页面最大页数，则提示告警信息。 如果一个文件大小是11K，如果清除第3页缓存，即清除最后3K缓存。 fileDropCache -h 帮助信息。