深入解析kernel-hardening-checker项目中的Azure Linux内核配置差异

在开源安全工具kernel-hardening-checker项目中，近期发现了一个关于Azure Linux内核配置的有趣现象。该项目主要用于检查Linux内核的安全加固配置情况，而其中包含的Azure Linux配置文件与实际的Azure虚拟机内核配置存在明显差异。

配置差异的发现

一位开发者在实际Azure虚拟机上获取了6.8.0-1021-azure版本的内核配置，与项目中现有的Azure Linux配置文件进行对比后发现了不一致。这个发现引发了对配置来源和准确性的讨论。

配置获取方式的探讨

项目中原有的Azure Linux配置文件是通过直接从微软的Azure Linux GitHub仓库获取的。然而，实际运行的Azure虚拟机上的配置却有所不同，这表明微软在公开发布的配置和实际部署的配置之间可能存在差异。

多发行版配置的更新

除了Azure Linux外，讨论还涉及到了CentOS Stream 10的最新内核配置。CentOS Stream 10使用6.12.0-66.el10.x86_64内核版本，其配置也被分享出来供项目参考。

自动化收集的改进方案

讨论中提出了改进配置收集脚本的建议，特别是针对Oracle维护的内核配置。通过解析Oracle提供的summary.json文件，可以自动获取98个不同发行版的唯一名称，实现配置收集的完全自动化，避免手动维护版本号的需要。

项目维护的意义

这类开源安全工具的配置准确性至关重要，因为它们被用来评估系统的安全加固水平。保持配置文件的及时更新和准确性，能够帮助系统管理员和安全研究人员更准确地评估系统的安全状态。

通过这次讨论，不仅更新了多个发行版的内核配置文件，还提出了改进自动化收集流程的方案，这将有助于提高项目的维护效率和配置准确性。