7.9. Déployer des systèmes conformes à un profil de sécurité immédiatement après l'installation
Vous pouvez utiliser la suite OpenSCAP pour déployer des systèmes RHEL conformes à un profil de sécurité, tel que le profil OSPP, PCI-DSS et HIPAA, immédiatement après le processus d'installation. Grâce à cette méthode de déploiement, vous pouvez appliquer des règles spécifiques qui ne peuvent pas être appliquées ultérieurement à l'aide de scripts de remédiation, par exemple, une règle pour la force des mots de passe et le partitionnement.
7.9.1. Profils non compatibles avec le serveur avec interface graphique
Certains profils de sécurité fournis dans le cadre de SCAP Security Guide ne sont pas compatibles avec l'ensemble de paquets étendu inclus dans l'environnement de base Server with GUI. Par conséquent, ne sélectionnez pas Server with GUI lorsque vous installez des systèmes conformes à l'un des profils suivants :
Nom du profil | ID du profil | Justification | Notes |
---|---|---|---|
[PROJET] CIS Red Hat Enterprise Linux 9 Benchmark pour le niveau 2 - Serveur |
|
Les paquets | |
[PROJET] CIS Red Hat Enterprise Linux 9 Benchmark pour le niveau 1 - Serveur |
|
Les paquets | |
[PROJET] STIG DISA pour Red Hat Enterprise Linux 9 |
|
Les paquets | Pour installer un système RHEL en tant que Server with GUI aligné sur DISA STIG, vous pouvez utiliser le profil DISA STIG with GUI BZ#1648162 |
7.9.2. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de l'installation graphique
Cette procédure permet de déployer un système RHEL conforme à une ligne de base spécifique. Cet exemple utilise le profil de protection pour le système d'exploitation général (OSPP).
Certains profils de sécurité fournis dans le cadre de SCAP Security Guide ne sont pas compatibles avec l'ensemble de paquets étendu inclus dans l'environnement de base Server with GUI. Pour plus de détails, voir Profils non compatibles avec un serveur GUI.
Conditions préalables
-
Vous avez démarré le programme d'installation
graphical
. Notez que le site OSCAP Anaconda Add-on ne prend pas en charge l'installation interactive en mode texte. -
Vous avez accédé à la fenêtre
Installation Summary
.
Procédure
-
Dans la fenêtre
Installation Summary
, cliquez surSoftware Selection
. La fenêtreSoftware Selection
s'ouvre. -
Dans le volet
Base Environment
, sélectionnez l'environnementServer
. Vous ne pouvez sélectionner qu'un seul environnement de base. -
Cliquez sur
Done
pour appliquer le réglage et revenir à la fenêtreInstallation Summary
. -
L'OSPP ayant des exigences strictes en matière de partitionnement, créez des partitions distinctes pour
/boot
,/home
,/var
,/tmp
,/var/log
,/var/tmp
, et/var/log/audit
. -
Cliquez sur
Security Policy
. La fenêtreSecurity Policy
s'ouvre. -
Pour activer les politiques de sécurité sur le système, basculez le commutateur
Apply security policy
surON
. -
Sélectionnez
Protection Profile for General Purpose Operating Systems
dans le volet des profils. -
Cliquez sur
Select Profile
pour confirmer la sélection. -
Confirmez les modifications dans le volet
Changes that were done or need to be done
qui s'affiche en bas de la fenêtre. Effectuez les modifications manuelles restantes. Terminez la procédure d'installation graphique.
NoteLe programme d'installation graphique crée automatiquement un fichier Kickstart correspondant après une installation réussie. Vous pouvez utiliser le fichier
/root/anaconda-ks.cfg
pour installer automatiquement des systèmes compatibles OSPP.
Vérification
Pour vérifier l'état actuel du système une fois l'installation terminée, redémarrez le système et lancez une nouvelle analyse :
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
Ressources supplémentaires
7.9.3. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de Kickstart
Cette procédure permet de déployer des systèmes RHEL alignés sur une ligne de base spécifique. Cet exemple utilise le profil de protection pour le système d'exploitation général (OSPP).
Conditions préalables
-
Le paquetage
scap-security-guide
est installé sur votre système RHEL 9.
Procédure
-
Ouvrez le fichier
/usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg
Kickstart dans un éditeur de votre choix. -
Mettez à jour le schéma de partitionnement pour qu'il corresponde aux exigences de votre configuration. Pour la conformité OSPP, les partitions séparées pour
/boot
,/home
,/var
,/tmp
,/var/log
,/var/tmp
, et/var/log/audit
doivent être préservées, et vous ne pouvez modifier que la taille des partitions. - Lancez une installation Kickstart comme décrit dans la section Effectuer une installation automatisée à l'aide de Kickstart.
Les mots de passe dans les fichiers Kickstart ne sont pas vérifiés pour les exigences de l'OSPP.
Vérification
Pour vérifier l'état actuel du système une fois l'installation terminée, redémarrez le système et lancez une nouvelle analyse :
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
Ressources supplémentaires