防御与运营

系统加固

别称: 系统加固, 操作系统加固

通过移除不必要的功能、收紧配置并强制安全默认值,降低系统的攻击面。

系统加固把出厂状态的系统转变为更具韧性的形态:关闭未使用的服务,移除默认账户,实施最小权限,强制强认证,开启加密,配置日志,并限制网络暴露。其对象涵盖操作系统、应用、数据库、容器、云服务、网络设备和固件。从业者通常参考 CIS、DISA STIG、NIST SP 800-53 以及厂商加固指南,并通过配置管理工具实现自动化。加固与打补丁互为补充:一个全量打过补丁的系统,如果配置错误或运行多余功能,依然可能被攻陷。

示例

对 Linux 服务器加固:禁用 root SSH、启用 SELinux,生产环境移除编译器。
Kubernetes 加固:启用 Pod 安全标准,禁用匿名 API 端点。

系统加固

示例

相关术语

安全基线

配置管理

安全控制

CIS Controls

Security Posture

补丁管理

定义

示例