CIS Benchmark 合规审计 — OpenEuler

针对 OpenEuler 系统，通过版本兼容矩阵匹配对应 RHEL 版本，对照其 CIS Benchmark 进行合规审计，输出差异分析报告。

使用方式

老大，审计 OpenEuler 合规情况
老大，运行 CIS 审计
老大，检查这台机器的安全基线

工作流

1. 确定目标系统 — 确认待审计的 OpenEuler 主机及版本
2. 匹配 RHEL 基准 — 查 references/version-matrix.md 确定对应 CIS Benchmark 版本
3. 收集基线 — 在目标系统上运行 scripts/collect-baseline.sh，生成带时间戳的基线快照
4. 差异分析 — 运行 scripts/diff-analysis.py，比对基线结果与 CIS Benchmark 映射表中的检查项
5. 输出报告 — 生成 Markdown 格式的合规报告（通过/失败/手动验证），保存在 reports/ 目录

文件结构

cis-openeuler-audit/
├── SKILL.md                          # 本文件 — skill 定义与工作流
├── scripts/
│   ├── collect-baseline.sh           # 在 OpenEuler 主机上收集系统基线
│   └── diff-analysis.py             # 基线 vs CIS Benchmark 差异分析
├── references/
│   ├── version-matrix.md             # OpenEuler ↔ RHEL 版本兼容矩阵
│   └── cis-rhel-benchmark-mapping.md # CIS Benchmark 检查项 ↔ OpenEuler 等效检查
└── reports/                          # 审计报告输出目录（自动生成）

设计原则

• 以脚本为主导 — SKILL.md 定义流程，具体逻辑交给脚本。模型无关。
• 配置驱动 — 映射表、版本矩阵、例外规则在 references/ 中，不硬编码。
• 幂等执行 — 每次生成带时间戳的报告，不修改目标系统配置，只做审计。
• 增量更新 — 已有基线时，只分析有变动的部分（diff 上一次基线文件）。

自动化触发

安全注意事项

• 基线收集脚本使用 sudo，需确保执行用户有相应权限
• 审计报告可能包含敏感配置信息，存储时注意权限控制
• 不在未获得授权的主机上执行审计