Aliyun Linux 2(注1) CIS benchmark在2019年8月16日正式通过了CIS组织的全部认证流程对外发布，详情参见：https://workbench.cisecurity.org/benchmarks/2228。

关于Aliyun Linux 2的介绍可以参见:https://www.aliyun.com/product/alinux。
所以在这里给大家介绍一下整个认证的一些详细信息。

首先介绍一下CIS认证

CIS全名Center for Internet Security，是一个美国的第三方安全组织，他们致力于采用线上社区的模式与大公司、政府机构、学术机构一起打造优秀的安全实践解决方案(各种benchmarks)，详情可以参见维奇百科(注2)。当前各个公司发布的Linux操作系统大多都已经提供CIS benchmark和CIS Hardened image，包括CentOS、Ubuntu、Windows等，详情可以参见CIS网站(注3)。当前发布CIS benchmark已经成为很多阿里云客户对于OS安全的重要评判依据之一。

Aliyun Linux 2 CIS benchmark发布流程

从2019年3月收到需求到2019年8月完成最终的认证，总共耗时6个月，详细流程如下：

Aliyun Linux 2 CIS benchmark详细信息

关于Aliyun Linux 2 CIS benchmark的详细内容可以通过CIS官网下载(注4)。
Aliyun Linux 2 CIS Benchmark中主要分为了八大类：Profile Applicability，Description，Rationale，Audit，Remediation，Impact，References和CIS Controls。

• Profile Applicability：其分为了Level 1和Level 2。Level 1是说明此加固条目是基础项加固且基本不会带来较大的性能影响，Level 2是说明此条目是安全性较重的、且如果管理员设置有稍偏差可能会带来很大的性能开销。
• Decription：加固条目的简单介绍。
• Rationale：用于描述条目的细节和背景，告诉读者这么加固的意义和原因。
• Audit：关键项，用于判断检测系统是否达标的脚本。根据此脚本的运行返回值来判断是否需要加固。
• Remediation：关键项，如果Audit环节判断系统需要进行加固，那此环节就是执行脚本进行安全处理。
• Impact：影响，主要来描述如果不进行正确配置可能会导致的影响。
• References：参考文献。
• CIS Controls：此条目对应的CIS control文档的讲解，需要注册后才能下载。

每一个条目分为了Scored和Not Scored两类：

• Scored：意味着此条目会纳入计分项，如果验证系统是安全的，则加分，如果不安全，则减分。
• Not Scored：意味着无论是否安全，都不纳入计分项，也就是说不增减分。

简单以1.1.2章节为例列举一下：

由于内容较多就不一一列举，详情可以参见附件或者CIS网站

Aliyun Linux 2 CIS benchmark使用

那么用户肯定会问如何使用Aliyun Linux 2的CIS benchmark呢？

首先用户在准备使用Aliyun Linux 2 CIS benchmark的时候需要问自己两个问题：

1. 我使用Aliyun Linux 2 CIS benchmark是为了满足什么需求？
2. 我的专业能力能否支持我完成我的镜像的Aliyun Linux 2 CIS benchmark改造？

第一个问题主要是因为该benchmark里面包含的内容非常多，如果所有项都进行改造来满足了可能会反而适得其反，所以需要用户分析清楚自己的真实安全需求再参考该benchmark进行改造。

第二个问题主要是因为该benchmark涉及到Linux操作系统的方方面面，如果没有非常专业的操作系统能力，可能在实施过程中出现各种各样的问题，比如性能恶化、功能丢失等。

所以如果有使用该benchmark诉求的业务，可以按照如下建议实施：

1. 如果有充足的操作系统专业能力，那么可以直接参考附件中的benchmark按照自己的需求进行配置；
2. 如果没有充足的操作系统运维能力，那么可以寻求操作系统团队(工单或者钉钉(注5)联系)的支持，后续操作系统团队也会发布自动化修复工具(可能无法覆盖所有修复项)来简化实施难度；
3. 如果有客户只是需要一个配置了CIS benchmark的OS来使用，不需要考虑其他，那么可以直接使用CIS发布的Aliyun Linux 2的加固镜像(需要额外收费，当前还在制作中)。

备注：

注1：Aliyun Linux 2即现在的Alibaba Cloud Linux 2，只是名称发生了改变，内容没有任何变更，部分介绍可以参见：https://yq.aliyun.com/articles/719814
注2：CIS维奇百科，网址：https://en.wikipedia.org/wiki/Center_for_Internet_Security
注3：CIS网站，网址：https://workbench.cisecurity.org/files?q=linux&tags=
注4：CIS官网下载，网址：https://workbench.cisecurity.org/files/2449
注5：操作系统团队钉钉，群号：Alibaba Cloud Linux OS 开发者&用户群

阅读原文
本文为云栖社区原创内容，未经允许不得转载。