你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文详细介绍了 SUSE Linux Enterprise 的 CIS 安全基准,包括支持的基准、不匹配的规则以及所有受支持版本的可配置参数。
支持的基准
| SUSE 版本 | 基准标题 |
|---|---|
| SUSE Linux Enterprise 15 | CIS SUSE Linux Enterprise 15 基准 2.0.0 级别 1 + 级别 2 - 服务器 |
CIS SUSE Linux Enterprise 15 基准 2.0.0 级别 1 + 级别 2 - 服务器
不匹配的规则
注释
不匹配的规则是在某些情况下,评估可能与 CIS-CAT® Pro 评估器不同;通常,我们的实现强制执行更严格的标准。
- 确保仅使用一个日志记录系统
未实现的规则
- 确保限制对 su 命令的访问
可配置参数
| 规则 | 参数 | 默认值 |
|---|---|---|
| 确保 DNS 服务器服务未使用 | 服务名称 | named.service |
| expectedUnitFileState | enabled | |
| expectedActiveState | 活跃 | |
| packageName | 绑定 | |
| 确保配置 /etc/crontab 上的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保 /etc/cron.hourly 的权限已设置 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.daily 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| packageName | cron (定时) | |
| 请确保已配置 /etc/cron.weekly 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.monthly 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/cron.d 的权限 | 过滤 | 0077 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/ssh/sshd_config 的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/passwd 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/passwd- 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/group 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保已配置 /etc/group- 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保 /etc/shadow 的权限已正确配置 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | root|shadow | |
| 确保已配置 /etc/shadow- 上的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | root|shadow | |
| 确保已配置 /etc/gshadow 的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | shadow|root | |
| 确保已配置 /etc/gshadow- 的权限 | 过滤 | 0137 |
| 所有者 | 根 | |
| 组 | shadow|root | |
| 确保配置了对 /etc/shell 的权限 | 过滤 | 0133 |
| 所有者 | 根 | |
| 组 | 根 | |
| 确保配置了对 /etc/security/opasswd 的权限 | 过滤 | 0177 |
| 所有者 | 根 | |
| 组 | 根 |