Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

7.9. Déployer des systèmes conformes à un profil de sécurité immédiatement après l'installation

download PDF

Vous pouvez utiliser la suite OpenSCAP pour déployer des systèmes RHEL conformes à un profil de sécurité, tel que le profil OSPP, PCI-DSS et HIPAA, immédiatement après le processus d'installation. Grâce à cette méthode de déploiement, vous pouvez appliquer des règles spécifiques qui ne peuvent pas être appliquées ultérieurement à l'aide de scripts de remédiation, par exemple, une règle pour la force des mots de passe et le partitionnement.

7.9.1. Profils non compatibles avec le serveur avec interface graphique

Certains profils de sécurité fournis dans le cadre de SCAP Security Guide ne sont pas compatibles avec l'ensemble de paquets étendu inclus dans l'environnement de base Server with GUI. Par conséquent, ne sélectionnez pas Server with GUI lorsque vous installez des systèmes conformes à l'un des profils suivants :

Tableau 7.2. Profils non compatibles avec le serveur avec interface graphique
Nom du profilID du profilJustificationNotes

[PROJET] CIS Red Hat Enterprise Linux 9 Benchmark pour le niveau 2 - Serveur

xccdf_org.ssgproject.content_profile_cis

Les paquets xorg-x11-server-Xorg, xorg-x11-server-common, xorg-x11-server-utils, et xorg-x11-server-Xwayland font partie de l'ensemble de paquets Server with GUI, mais la politique exige leur suppression.

 

[PROJET] CIS Red Hat Enterprise Linux 9 Benchmark pour le niveau 1 - Serveur

xccdf_org.ssgproject.content_profile_cis_server_l1

Les paquets xorg-x11-server-Xorg, xorg-x11-server-common, xorg-x11-server-utils, et xorg-x11-server-Xwayland font partie de l'ensemble de paquets Server with GUI, mais la politique exige leur suppression.

 

[PROJET] STIG DISA pour Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig

Les paquets xorg-x11-server-Xorg, xorg-x11-server-common, xorg-x11-server-utils, et xorg-x11-server-Xwayland font partie de l'ensemble de paquets Server with GUI, mais la politique exige leur suppression.

Pour installer un système RHEL en tant que Server with GUI aligné sur DISA STIG, vous pouvez utiliser le profil DISA STIG with GUI BZ#1648162

7.9.2. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de l'installation graphique

Cette procédure permet de déployer un système RHEL conforme à une ligne de base spécifique. Cet exemple utilise le profil de protection pour le système d'exploitation général (OSPP).

Avertissement

Certains profils de sécurité fournis dans le cadre de SCAP Security Guide ne sont pas compatibles avec l'ensemble de paquets étendu inclus dans l'environnement de base Server with GUI. Pour plus de détails, voir Profils non compatibles avec un serveur GUI.

Conditions préalables

  • Vous avez démarré le programme d'installation graphical. Notez que le site OSCAP Anaconda Add-on ne prend pas en charge l'installation interactive en mode texte.
  • Vous avez accédé à la fenêtre Installation Summary.

Procédure

  1. Dans la fenêtre Installation Summary, cliquez sur Software Selection. La fenêtre Software Selection s'ouvre.
  2. Dans le volet Base Environment, sélectionnez l'environnement Server. Vous ne pouvez sélectionner qu'un seul environnement de base.
  3. Cliquez sur Done pour appliquer le réglage et revenir à la fenêtre Installation Summary.
  4. L'OSPP ayant des exigences strictes en matière de partitionnement, créez des partitions distinctes pour /boot, /home, /var, /tmp, /var/log, /var/tmp, et /var/log/audit.
  5. Cliquez sur Security Policy. La fenêtre Security Policy s'ouvre.
  6. Pour activer les politiques de sécurité sur le système, basculez le commutateur Apply security policy sur ON.
  7. Sélectionnez Protection Profile for General Purpose Operating Systems dans le volet des profils.
  8. Cliquez sur Select Profile pour confirmer la sélection.
  9. Confirmez les modifications dans le volet Changes that were done or need to be done qui s'affiche en bas de la fenêtre. Effectuez les modifications manuelles restantes.

  10. Terminez la procédure d'installation graphique.

    Note

    Le programme d'installation graphique crée automatiquement un fichier Kickstart correspondant après une installation réussie. Vous pouvez utiliser le fichier /root/anaconda-ks.cfg pour installer automatiquement des systèmes compatibles OSPP.

Vérification

  • Pour vérifier l'état actuel du système une fois l'installation terminée, redémarrez le système et lancez une nouvelle analyse : 

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Ressources supplémentaires

7.9.3. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de Kickstart

Cette procédure permet de déployer des systèmes RHEL alignés sur une ligne de base spécifique. Cet exemple utilise le profil de protection pour le système d'exploitation général (OSPP).

Conditions préalables

  • Le paquetage scap-security-guide est installé sur votre système RHEL 9.

Procédure

  1. Ouvrez le fichier /usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg Kickstart dans un éditeur de votre choix.
  2. Mettez à jour le schéma de partitionnement pour qu'il corresponde aux exigences de votre configuration. Pour la conformité OSPP, les partitions séparées pour /boot, /home, /var, /tmp, /var/log, /var/tmp, et /var/log/audit doivent être préservées, et vous ne pouvez modifier que la taille des partitions.
  3. Lancez une installation Kickstart comme décrit dans la section Effectuer une installation automatisée à l'aide de Kickstart.
Important

Les mots de passe dans les fichiers Kickstart ne sont pas vérifiés pour les exigences de l'OSPP.

Vérification

  1. Pour vérifier l'état actuel du système une fois l'installation terminée, redémarrez le système et lancez une nouvelle analyse : 

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.