漏洞更新与安全加固
漏洞更新
ExaGear在发布之前会将涉及的Guest系统漏洞更新,保持与Guest OS的官网同步,在发布之后请用户自行根据Guest OS官方提供的补丁进行修复,例如CentOS的漏洞更新可参考官网(https://www.centos.org/)针对漏洞补丁的更新说明。涉及到ExaGear软件自身的漏洞修复,请通过鲲鹏社区获取ExaGear的最新进展。
安全加固
- 账户口令
- 文件权限
Linux将所有对象(包括目录、设备等)都视为文件来处理——甚至目录本身也被当作一种特殊的“文件”,其中包含了对其他文件的引用。因此,文件和目录的安全性在Linux系统中至关重要。系统通过权限设置和属主信息来保障这些资源的安全,默认情况下,系统会为常见的目录、可执行文件和配置文件分配合适的权限和所属用户,从而构建起基础的安全防护体系。
由于/usr/bin/readelf和/usr/bin/objdump属于binutils包,且该包被rpm-build、kmod等组件依赖,ExaGear Guest安装包中必须包含此工具链。为减少潜在的安全隐患,建议将这些文件的权限设为750,并将属主设置为root。
此外,Guest系统的如下文件和目录与Host系统共享,其权限和属主与Host系统保持一致。如需加固,建议在Host系统上进行操作。而其他不与Host共享的文件,则可直接在Guest系统中进行加固。
表1 Guest系统与Host共享的文件与目录 etc目录
/etc/host.conf
/etc/hostname
/etc/hosts
/etc/hosts.allow
/etc/hosts.deny
/etc/hosts.equiv
/etc/resolvconf/
/etc/resolv.conf
/etc/yp.conf
/etc/nscd.conf
/etc/nslcd.conf
/etc/nsswitch.conf
/etc/adduser.conf
/etc/deluser.conf
/etc/netgroup
/etc/netgroup-
/etc/group
/etc/group-
/etc/group+
/etc/passwd
/etc/passwd-
/etc/passwd+
/etc/gshadow
/etc/gshadow-
/etc/gshadow+
/etc/shadow
/etc/shadow-
/etc/shadow+
/etc/login.defs
/etc/machine-id
/etc/ldap.conf
/etc/ldap/
/etc/sudoers
/etc/sudoers.d/
/etc/securetty
/etc/fstab
/etc/fstab.d/
/etc/fuse.conf
/etc/mtab
/etc/mtab.fuselock
/etc/mtab.old
/etc/blkid.conf
/etc/blkid.tab
/etc/mke2fs.conf
/etc/services
/etc/protocols
/etc/security/
/etc/inputrc
usr目录
/usr/share/icons/
/usr/share/pixmaps/
/usr/share/X11/
其他目录
/home/
/root/
/proc/
/dev/
/sys/
/tmp/
/run/
/mnt/
/media/
/var/log/
/var/lib/dbus/