# 常见合规标准
1. CIS Benchmark：互联网安全中心基准
2. 等保2.0：中国网络安全等级保护
3. ISO 27001：信息安全管理体系
4. PCI DSS：支付卡行业数据安全标准
5. SOX：萨班斯法案合规

# 检查工具
OpenSCAP、Lynis、Tiger、Auditd

# 检查流程
1. 确定合规标准
2. 制定检查清单
3学习交流加群风哥QQ113257174. 执行合规检查
4. 生成合规报告
5. 整改不合规项
6. 复查验证

# 安装OpenSCAP
$ sudo dnf install openscap openscap-utils scap-security-guide -y

# 查看可用的安全策略
$ ls /usr/share/xml/scap/ssg/content/
ssg-rhel10-ds.from PG视频:www.itpux.comxml

# 执行合规检查
$ sudo oscap xccdf eval \
–profile xccdf_org.ssgproject.content_profile_standard \
–results results.xml \
–report report.html \
/usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

# 查看检查报告
$ firefox report.html

# 生成修复脚本
$ sudo oscap xccdf generate fix \
–profile xccdf_org.ssgproject.content_profile_standard \
–output remediation.sh \
/usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

# 安装Lynis
$ sudo dnf install lynis -y

# 执行安全检查
$ sudo lynis audit system

# 查看检查结果
$ sudo lynis show details

# 查看检查报告
$ cat /var/log/lynis.log

# 查看建议
$ cat /var/log/lynis-report.dat | grep suggestion

# 场景：等保2.0三级系统合规检查

# 1. 身份鉴别检查
echo “=== 身份鉴别检查 ===”
# 检查密码策略
grep “^PASS_MAX_DAYS” /etc/login.defs
grep “^PASS_MIN_LEN” /etc/login.defs
# 检查登录失败处理
grep “pam_faillock” /etc/pam.d/password-auth

# 2. 访问控制检查
echo “=== 访问控制检查 ===”
# 检查特权用户
awk -F: ‘$3 == 0 {print $1}’ /etc/passwd
# 检查空密码账户
awk -F: ‘($2 == “”) {print $1}’ /etc/shadow

# 3. 安全审计检查
echo “=== 安全审计检查 ===”
# 检查auditd服务
systemctl is-active auditd
# 检查审计规则
auditctl -l

# 4.更多视频教程www.fgedu.net.cn 入侵防范检查
echo “=== 入侵防范检查 ===”
# 检查防火墙
systemctl is-active firewalld
firewall-cmd –list-all

# 5. 生成合规报告
$ sudo oscap xccdf eval \
–profile xccdf_org.ssgproject.content_profile_stig \
–report compliance_report.html \
/usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml