6.9. Implantación de sistemas que cumplen con un perfil de seguridad inmediatamente después de una instalación
Puede utilizar el paquete OpenSCAP para desplegar sistemas RHEL que cumplan con un perfil de seguridad, como OSPP o PCI-DSS, inmediatamente después del proceso de instalación. Utilizando este método de despliegue, puede aplicar reglas específicas que no se pueden aplicar más tarde utilizando scripts de corrección, por ejemplo, una regla para la fuerza de la contraseña y la partición.
6.9.1. Implantación de sistemas RHEL compatibles con la línea de base mediante la instalación gráfica
Utilice este procedimiento para desplegar un sistema RHEL que esté alineado con una línea de base específica. Este ejemplo utiliza el perfil de protección para el sistema operativo de uso general (OSPP).
Requisitos previos
-
Ha iniciado el programa de instalación
graphical
. Tenga en cuenta que el OSCAP Anaconda Add-on no admite la instalación de sólo texto. -
Ha accedido a la ventana
Installation Summary
.
Procedimiento
-
En la ventana
Installation Summary
, haga clic enSoftware Selection
. Se abre la ventanaSoftware Selection
. En el panel
Base Environment
, seleccione el entornoServer
. Sólo puede seleccionar un entorno base.AvisoNo utilice el entorno base de
Server with GUI
si desea desplegar un sistema compatible. Los perfiles de seguridad proporcionados como parte de SCAP Security Guide pueden no ser compatibles con el conjunto de paquetes extendidos deServer with GUI
. Para más información, consulte, por ejemplo, BZ#1648162, BZ#1787156 o BZ#1816199.-
Haga clic en
Done
para aplicar la configuración y volver a la ventanaInstallation Summary
. -
Haga clic en
Security Policy
. Se abre la ventanaSecurity Policy
. -
Para habilitar las políticas de seguridad en el sistema, cambie el interruptor
Apply security policy
aON
. -
Seleccione
Protection Profile for General Purpose Operating Systems
en el panel de perfiles. -
Haga clic en
Select Profile
para confirmar la selección. -
Confirme los cambios en el panel
Changes that were done or need to be done
que aparece en la parte inferior de la ventana. Complete los cambios manuales restantes. -
Dado que OSPP tiene estrictos requisitos de partición que deben cumplirse, cree particiones separadas para
/boot
,/home
,/var
,/var/log
,/var/tmp
y/var/log/audit
. Completa el proceso de instalación gráfica.
NotaEl programa de instalación gráfica crea automáticamente un archivo Kickstart correspondiente después de una instalación exitosa. Puede utilizar el archivo
/root/anaconda-ks.cfg
para instalar automáticamente sistemas compatibles con OSPP.
Pasos de verificación
Para comprobar el estado actual del sistema una vez finalizada la instalación, reinicie el sistema e inicie un nuevo análisis:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Recursos adicionales
- Para más detalles sobre la partición, consulte Configuración de la partición manual.