Ubuntu部署合规性检查（手把手教你实现Linux系统安全审计与合规配置）

一、什么是Ubuntu合规性检查？

Ubuntu合规性检查 是指通过自动化工具或手动方式，验证系统配置是否符合特定的安全基线或行业标准。常见的检查项包括：

• 密码复杂度策略
• SSH 安全配置
• 未使用账户清理
• 防火墙启用状态
• 系统日志完整性

二、推荐工具：OpenSCAP + SCAP Security Guide

OpenSCAP 是一个开源的合规性扫描框架，配合 SCAP Security Guide（SSG）提供的 Ubuntu 安全策略文件，可高效完成 Linux安全审计。

1. 安装必要软件包

在终端中依次执行以下命令（建议使用 Ubuntu 20.04 或更高版本）：

sudo apt updatesudo apt install -y openscap-scanner scap-security-guide xsltproc  

2. 查看可用的安全策略

SCAP Security Guide 为 Ubuntu 提供了多个合规配置文件，例如针对 CIS（Center for Internet Security）基准的规则：

# 列出所有 Ubuntu 相关的策略oscap info /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml  

你会看到类似如下的输出（节选）：

Profiles:  Title: CIS Ubuntu 20.04 LTS Benchmark  Id: xccdf_org.ssgproject.content_profile_cis  Title: ANSSI BP-028 (high)  Id: xccdf_org.ssgproject.content_profile_anssi_bp28_high  

三、执行合规性扫描

我们以 CIS 基准为例，执行一次完整的 Ubuntu安全加固 检查：

sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --results-arf results-arf.xml \  --report report.html \  /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml  

参数说明：

• --profile：指定使用的安全策略
• --results-arf.xml：保存原始结果（可用于后续分析）
• --report report.html：生成人类可读的 HTML 报告

四、查看与分析报告

扫描完成后，会在当前目录生成 report.html 文件。你可以用浏览器打开它：

xdg-open report.html  

报告中会清晰列出：

• 通过的检查项（绿色）
• 失败的检查项（红色）
• 每项的修复建议

根据报告提示，你可以逐项修复系统配置，从而实现真正的 系统安全配置 合规。

五、自动化与定期检查（可选进阶）

为了持续保障安全，建议将扫描任务加入 cron 定时任务：

# 每周一凌晨2点执行扫描0 2 * * 1 /usr/bin/oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --results-arf /var/log/compliance/$(date +\%Y\%m\%d)-arf.xml \  --report /var/www/html/compliance-report.html \  /usr/share/xml/scap/ssg/content/ssg-ubuntu2004-ds.xml  

六、总结

通过 OpenSCAP 和 SCAP Security Guide，我们可以轻松实现 Ubuntu合规性检查，有效提升服务器的安全水位。无论你是运维工程师还是安全管理员，这套方法都能帮助你快速满足 Linux安全审计 要求，并为 Ubuntu安全加固 提供明确指引。

记住：安全不是一次性工作，而是持续的过程。定期扫描、及时修复，才能真正筑牢系统防线！

希望本教程对你有所帮助。如有疑问，欢迎在评论区交流！