Linux如何使用CIS Benchmark加固_Linux CIS Benchmark加固思路

一分耕耘，一分收获！既然都打开这篇《Linux如何使用CIS Benchmark加固_Linux CIS Benchmark加固思路》，就坚持看下去，学下去吧！本文主要会给大家讲到等等知识点，如果大家对本文有好的建议或者看到有不足之处，非常欢迎大家积极提出！在后续文章我会继续更新文章相关的内容，希望对大家都有所帮助！

CIS Benchmark 是可验证的合规性断言，加固 Linux 需遵循“先扫描、再修复、后验证”流程；常见问题包括 profile 名称不匹配、远程资源未显式获取、sshd 配置修改后未重启或验证、tmpfs 挂载选项配置不当等。

直接上结论：CIS Benchmark 不是配置清单，而是可验证的合规性断言；用它加固 Linux，核心在于「先扫描、再修复、后验证」，跳过任一环节都可能留下盲区。

oscap xccdf eval 扫描时为什么总报错找不到 profile？

常见错误现象是 oscap xccdf eval --profile cis ... 提示 Profile 'cis' not found，本质是 profile 名称和数据流文件不匹配。

• 不同发行版的 SCAP 数据源路径和 profile ID 差异很大：Ubuntu 22.04 的 CIS profile 是 xccdf_org.ssgproject.content_profile_cis，而 CentOS/RHEL 8+ 是 xccdf_org.cisecurity.benchmarks_profile_Level_2_Server
• 必须确认数据源文件是否真实存在：/usr/share/scap-security-guide/ssg-ubuntu2204-ds.xml 或 /usr/share/xml/scap/ssg/content/ssg-centos8-ds.xml
• 别信文档里写的“默认 profile 名”，先用 oscap info 查看实际支持的 profile 列表
• OpenSCAP 2.10+ 版本开始要求显式指定 --fetch-remote-resources 才能解析远程引用的 OVAL/CPE 文件，漏掉这个参数会导致部分检查项直接跳过

Ansible 修复 playbook 中 lineinfile 为什么改了配置却不生效？

典型表现是 ansible.builtin.lineinfile 修改了 /etc/ssh/sshd_config，但 sshd 服务没重启，或重启后配置被覆盖。

• 必须配 notify: restart sshd + 对应的 handlers，否则修改只是写入文件，服务仍运行旧配置
• 某些系统（如 RHEL 8+）会通过 systemd 的 drop-in 文件（/etc/systemd/system/sshd.service.d/）覆盖主配置，lineinfile 改 sshd_config 可能无效
• validate 参数不能少：比如 validate: 'sshd -t -f %s'，否则语法错误的配置会被写入并导致服务启动失败
• 如果目标主机启用了 ssh_config.d（OpenSSH 8.2+），优先考虑写入 /etc/ssh/sshd_config.d/05-cis.conf 而非直接改主文件，避免与系统更新冲突

/tmp 挂载为 tmpfs 后，CIS 1.27 要求的 noexec,nosuid,nodev 怎么加才不破坏服务？

直接在 /etc/fstab 加 noexec,nosuid,nodev 很容易导致 cron、at、systemd-tmpfiles 等依赖 /tmp 执行脚本的服务异常。

• 先确认当前挂载方式：findmnt /tmp，如果是 systemd 隐式挂载（tmp.mount），必须改 /usr/lib/systemd/system/tmp.mount 或创建 /etc/systemd/system/tmp.mount.d/override.conf
• tmpfs 挂载选项中，noexec 和 nosuid 是安全刚需，但 nodev 在大多数场景下可省略——除非你明确禁止设备文件出现在 /tmp
• 务必设置 size= 限制，例如 size=512M，否则默认 50% 内存上限可能引发 OOM，尤其在 Kubernetes 节点上
• 加固后必须测试关键服务：sudo -u nobody sh -c 'echo test > /tmp/test && /tmp/test' 验证 noexec 是否起效，sudo mount | grep tmp 确认选项已加载

真正难的不是执行某一条加固项，而是让所有加固动作在不同发行版、不同 systemd 版本、不同容器运行时环境下保持行为一致。比如 protect-kernel-defaults 在 RKE2 中是启动时硬校验，但在普通 Ubuntu 上得靠 sysctl + grubby + kernel command line 三处同步修改，漏一处就通不过 CIS。

好了，本文到此结束，带大家了解了《Linux如何使用CIS Benchmark加固_Linux CIS Benchmark加固思路》，希望本文对你有所帮助！关注golang学习网公众号，给大家分享更多文章知识！