你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文提供了有关 Oracle Linux 的 CIS 安全基准的详细信息,包括支持的基准、不匹配的规则以及所有受支持版本的可配置参数。
支持的基准
| Oracle Linux 版本 | 基准标题 |
|---|---|
| Oracle Linux 8 | CIS Oracle Linux 8 基准 3.0.0 级别 1 + 级别 2 - 服务器 |
| Oracle Linux 9 | CIS Oracle Linux 9 基准 2.0.0 级别 1 + 级别 2 - 服务器 |
CIS Oracle Linux 8 基准 3.0.0 级别 1 + 级别 2 - 服务器
不匹配的规则
注释
不匹配的规则是在某些情况下,评估可能与 CIS-CAT® Pro 评估器不同;通常,我们的实现强制执行更严格的标准。
- 确保仅使用一个日志记录系统
未实现的规则
- 确保限制对 su 命令的访问
可配置参数
| 规则 | 参数 | 默认值 |
|---|---|---|
| 确保 DNS 服务器服务未使用 | 服务名称 | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | 活跃 | |
| packageName | 绑定 | |
| 确保配置 /etc/crontab 上的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保 /etc/cron.hourly 的权限已设置 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.daily 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| packageName | cron (定时) | |
| alternativePackageName | cronie | |
| 请确保已配置 /etc/cron.weekly 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.monthly 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| alternativePackageName | cronie | |
| 确保已配置 /etc/cron.d 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/ssh/sshd_config 的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/passwd 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/passwd- 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/group 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/group- 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保 /etc/shadow 的权限已正确配置 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | root|shadow | |
| 确保已配置 /etc/shadow- 上的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | root|shadow | |
| 确保已配置 /etc/gshadow 的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | shadow|root | |
| 确保已配置 /etc/gshadow- 的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | shadow|root | |
| 确保配置了对 /etc/shell 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保配置了对 /etc/security/opasswd 的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 |
CIS Oracle Linux 9 基准 2.0.0 级别 1 + 级别 2 - 服务器
不匹配的规则
注释
不匹配的规则是在某些情况下,评估可能与 CIS-CAT® Pro 评估器不同;通常,我们的实现强制执行更严格的标准。
- 确保仅使用一个日志记录系统
未实现的规则
- 确保限制对 su 命令的访问
可配置参数
| 规则 | 参数 | 默认值 |
|---|---|---|
| 确保 DNS 服务器服务未使用 | 服务名称 | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | 活跃 | |
| packageName | 绑定 | |
| 确保配置 /etc/crontab 上的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保 /etc/cron.hourly 的权限已设置 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.daily 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| packageName | cron (定时) | |
| alternativePackageName | cronie | |
| 请确保已配置 /etc/cron.weekly 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.monthly 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| alternativePackageName | cronie | |
| 确保已配置 /etc/cron.d 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/ssh/sshd_config 的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/passwd 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/passwd- 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/group 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/group- 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保 /etc/shadow 的权限已正确配置 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | root|shadow | |
| 确保已配置 /etc/shadow- 上的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | root|shadow | |
| 确保已配置 /etc/gshadow 的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | shadow|root | |
| 确保已配置 /etc/gshadow- 的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | shadow|root | |
| 确保配置了对 /etc/shell 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保配置了对 /etc/security/opasswd 的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 |