ComplianceAsCode项目中Ubuntu 24.04 SSH配置检查的改进方案

在ComplianceAsCode项目的安全合规检查中，发现了一个关于Ubuntu 24.04系统SSH配置检查的重要问题。该项目原有的安全检查机制仅针对主配置文件/etc/ssh/sshd_config进行验证，而忽略了Ubuntu系统引入的配置片段目录/etc/ssh/sshd_config.d/中的配置，这可能导致安全评估结果不准确。

问题背景

现代Linux发行版，包括Ubuntu 24.04，普遍采用了配置片段（drop-in）的设计模式。这种设计允许系统管理员将配置分散到多个文件中，通常存放在.d目录下。对于SSH服务而言，主配置文件/etc/ssh/sshd_config会与/etc/ssh/sshd_config.d/目录下的.conf文件共同组成最终配置。

ComplianceAsCode项目原有的安全检查规则仅扫描主配置文件，这会导致以下问题：

1. 即使管理员在sshd_config.d/目录下正确配置了安全参数，合规检查仍会判定为失败
2. 安全评估结果不能反映系统真实的安全状态
3. 管理员可能被迫将配置集中到主文件中，违背了模块化配置的最佳实践

技术分析

问题主要影响以下三个安全检查项：

• 仅使用强MAC算法检查
• 仅使用强密钥交换算法检查
• 仅使用强加密算法检查

这些检查都使用了OVAL（Open Vulnerability and Assessment Language）定义，具体表现为textfilecontent54_object对象。原始实现中，filepath元素固定指向主配置文件路径，没有考虑配置片段目录。

解决方案

经过技术分析，解决方案是修改OVAL检查规则，使其能够同时扫描主配置文件和配置片段目录中的所有相关文件。具体实现方式是将filepath元素的匹配模式扩展为正则表达式：

<ind:filepath operation="pattern match">^\/etc\/ssh\/sshd_config(?:.d\/.*.conf)?$</ind:filepath>

这个正则表达式可以匹配：

1. 主配置文件路径/etc/ssh/sshd_config
2. 配置片段目录下的所有.conf文件路径，如/etc/ssh/sshd_config.d/00-strong-crypto.conf

实施建议

对于需要自定义SSH安全配置的管理员，建议：

1. 优先使用配置片段目录存放自定义配置
2. 文件名采用数字前缀确保加载顺序
3. 避免直接修改主配置文件，以便于维护和升级
4. 修改后重启SSH服务使配置生效

对于安全合规工具开发者，应当：

1. 全面考虑现代Linux系统的配置分散特性
2. 对类似.d目录的配置片段机制保持兼容
3. 在文档中明确说明检查范围

总结

这一改进体现了现代系统配置管理的最佳实践，既保持了安全合规检查的严格性，又尊重了系统设计的模块化原则。通过支持配置片段检查，ComplianceAsCode项目能够更准确地反映Ubuntu 24.04系统的真实安全状态，为管理员提供更可靠的评估结果。