Ubuntu合规性配置指南（手把手教你满足企业级Linux系统合规性要求）

准备工作

在开始之前，请确保：

• 你有一台运行Ubuntu 20.04 LTS或更高版本的服务器（桌面版也可）
• 你拥有sudo权限
• 系统已更新至最新状态

首先，更新系统：

sudo apt update && sudo apt upgrade -y  

步骤一：安装并运行OpenSCAP进行合规扫描

Linux系统合规性通常借助自动化工具实现。OpenSCAP是一个开源的合规评估工具，支持CIS等标准。

安装OpenSCAP及相关内容包：

sudo apt install -y openscap-scanner \                     scap-security-guide  

查看可用的安全配置文件（以Ubuntu 20.04为例）：

oscap info /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml  

步骤二：执行CIS基准合规扫描

使用以下命令对系统进行CIS Level 1 Workstation合规性扫描（适合大多数普通用户）：

sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --results-arf arf-report.xml \  --report cis-report.html \  /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml  

执行完成后，你会在当前目录得到两个文件：

• cis-report.html：人类可读的HTML合规报告
• arf-report.xml：机器可读的详细结果（用于自动化分析）

打开 cis-report.html 即可查看哪些项目合规、哪些不合规。

步骤三：自动修复部分不合规项

OpenSCAP支持自动生成修复脚本。例如，为CIS配置文件生成Bash修复脚本：

sudo oscap xccdf generate fix \  --profile xccdf_org.ssgproject.content_profile_cis \  --fix-type bash \  /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml \  > cis-fix.shchmod +x cis-fix.shsudo ./cis-fix.sh  

⚠️ 注意：自动修复可能影响系统功能，请先在测试环境验证！

步骤四：关键手动配置项（小白必看）

即使使用自动化工具，以下几项也建议手动确认：

1. 设置强密码策略：编辑 /etc/pam.d/common-password，加入：
   

   password requisite pam_pwquality.so retry=3 minlen=12 difok=3      

2. 启用自动安全更新：
   

   sudo dpkg-reconfigure -plow unattended-upgrades      

3. 禁用root远程登录：编辑 /etc/ssh/sshd_config，确保：
   

   PermitRootLogin no      

   然后重启SSH：
   

   sudo systemctl restart sshd      

持续监控与审计

合规不是一次性任务。建议定期运行扫描，并结合日志审计工具（如auditd）进行持续监控。你也可以将OpenSCAP集成到CI/CD流程中，实现自动化合规检查。

总结

通过本教程，你已经掌握了如何在Ubuntu系统上实施基本的Ubuntu CIS基准合规配置。记住，合规的核心是“持续改进”——定期评估、修复、验证，才能真正构建安全可靠的系统环境。

如果你的企业有更严格的合规需求（如FedRAMP、ISO 27001），建议咨询专业安全团队或使用商业合规平台（如Tenable、Qualys）。

现在，你的Ubuntu系统已经比90%的默认安装更安全、更合规！