FacundoMfernandez/ens-hardening-ubuntu

# ens-hardening-ubuntu # Ubuntu 22.04 LTS 加固 — CIS Benchmarks + ENS Categoría Alta ## 🎯 目标 按照 CIS Benchmarks 和国家标准安全方案（ENS）高类别（Categoría Alta）的措施，对 Ubuntu 22.04 LTS 服务器应用完整的加固流程。记录加固前后攻击面的对比情况。 ## 🧪 环境 - **系统**：Ubuntu Server 22.04 LTS（全新安装） - **审计**：Lynis（加固前后） - **虚拟化**：隔离的实验室环境 ## 🔁 项目阶段 ### 1. 初始审计（基线） 在未加固的系统上运行 Lynis。识别暴露的服务、不安全的默认配置、开放端口和潜在 CVE。 ### 2. 实施 CIS 控制 系统性实施适用于 Ubuntu 22.04 的 CIS Benchmark 控制： - 文件系统分区和权限配置 - 禁用不必要的服务 - SSH 安全配置（公钥认证，禁用 root 登录） - 密码策略和账户管理 - auditd 和 rsyslog 配置 - 防火墙规则（UFW/iptables） ### 3. 映射到 ENS 控制 将应用的每个 CIS 控制与 ENS 高类别（Categoría Alta）框架中的对应项进行关联，包括： - 访问控制 (op.acc) - 通信保护 (mp.com) - 活动日志 (op.exp.8) - 变更管理 (op.exp.5) ### 4. 最终审计（加固后） 再次运行 Lynis 以评估改善情况。对攻击面进行定量和定性的对比分析。 ## 🛠️ 使用的工具 | 工具 | 项目中的用途 | |---|---| | Lynis | 加固前后的安全审计 | | CIS Benchmarks | 加固控制框架 | | ENS (CCN-STIC) | 西班牙标准合规映射 | | auditd | 内核审计系统 | | rsyslog | 集中日志管理 | | UFW / iptables | 防火墙 | | AIDE | 文件完整性校验 | | Bash scripting | 流程自动化 | ## 📊 核心收获 - 加固前后评估的重要性 —— 没有基线就没有改善的证据 - 加固不是“一劳永逸”的 —— 需要定期审查流程 - 安全性与可操作性之间的平衡：在不了解服务功能的情况下盲目禁用会导致系统故障 - 机械地执行检查清单与理解每个控制背后的原理之间的差异 ## 🔒 保密声明 ## ⚠️ 免责声明 本项目在隔离的实验室环境中运行，仅用于教育目的。 ## 📧 联系方式 [Facundo Martín Fernández Otón](https://www.linkedin.com/in/facundo-martin-fernandez-oton-/) · [GitHub](https://github.com/FacundoMfernandez) 🔍 *您正在为 SOC、Blue Team 或 IR 团队招聘吗？请查看我的[个人资料](https://github.com/FacundoMfernandez)，让我们聊聊。*

标签：auditd, Categoría Alta, CIS Benchmarks, ENS, Esquema Nacional de Seguridad, GPT, iptables, Lynis, rsyslog, SSH安全配置, UFW, x64dbg, 人工智能安全, 反取证, 合规性, 子域名枚举, 安全基线, 安全评估, 应用安全, 插件系统, 攻击面分析, 教学环境, 无线安全, 漏洞管理, 系统加固, 系统安全, 网络安全, 网络安全审计, 防火墙, 隐私保护, 高安全等级