ComplianceAsCode项目在Ubuntu24 CIS Level2中的文件权限检查问题分析

问题概述

在ComplianceAsCode项目的安全合规检查中，针对Ubuntu 24.04系统执行CIS Level2 Server配置检查时，发现关于/etc/secure和/etc/gsecure相关文件的权限检查存在异常。尽管这些关键系统文件的权限已正确设置为0640，但合规检查仍然报告失败。

受影响的关键文件

该问题涉及以下四个关键系统文件的权限检查：

1. /etc/secure
2. /etc/secure-（备份文件）
3. /etc/gsecure
4. /etc/gsecure-（备份文件）

问题现象

当这些文件权限设置为0640（符合安全最佳实践）时，合规检查会错误地报告失败。而如果将检查规则中的期望权限值改为0000，检查反而能够通过，这显然与安全要求相违背。

技术背景

在Linux系统中，/etc/secure和/etc/gsecure是存储用户和组密码哈希的关键文件，需要严格控制访问权限。CIS基准建议这些文件应设置为0640权限，即：

• 所有者(root)有读写权限
• 组成员(secure)有读权限
• 其他用户无任何权限

这种设置可以防止普通用户读取密码哈希，同时允许必要的系统服务（如身份验证服务）访问这些信息。

问题根源分析

经过技术分析，问题的根本原因在于规则模板中缺少针对Ubuntu 24.04系统的特定权限配置。在规则定义中，虽然设置了默认的0640权限要求，但没有专门为Ubuntu 24.04版本添加对应的权限检查配置。

解决方案

该问题已在项目的主分支中得到修复。修复方式是在规则模板中明确添加针对Ubuntu 24.04的权限检查配置，确保系统能够正确识别0640为这些关键文件的合规权限设置。

对系统安全的影响

虽然这是一个检查工具的误报问题，但管理员需要注意：

1. 不要因为检查工具的错误而降低实际文件权限
2. 确保关键系统文件保持0640权限设置
3. 定期验证文件权限是否符合安全要求

最佳实践建议

对于使用ComplianceAsCode项目进行系统合规检查的管理员，建议：

1. 使用最新版本的工具进行检查
2. 对于检查结果要进行人工验证
3. 保持对关键系统文件的定期权限审计
4. 关注项目的更新和修复情况

通过这些问题分析和解决过程，我们可以看到安全合规工具的准确性和及时更新对于系统安全管理的重要性。