6.9. 설치 직후 보안 프로필과 호환되는 시스템 배포


OpenSCAP 제품군을 사용하여 설치 프로세스 직후에 OSPP, PCI-DSS 및 HIPAA 프로필과 같은 보안 프로필과 호환되는 RHEL 시스템을 배포할 수 있습니다. 이 배포 방법을 사용하여 나중에 해결 스크립트를 사용하여 적용할 수 없는 특정 규칙을 적용할 수 있습니다 (예: 암호 보안 강도 및 파티셔닝 규칙).

6.9.1. GUI에서 서버와 호환되지 않는 프로파일

SCAP 보안 가이드의 일부로 제공되는 특정 보안 프로필은 GUI 기본 환경에서 서버에 포함된 확장 패키지 세트와 호환되지 않습니다. 따라서 다음 프로필 중 하나와 호환되는 시스템을 설치할 때 GUI를 사용하여 서버를 선택하지 마십시오.

표 6.1. GUI에서 서버와 호환되지 않는 프로파일
프로파일 이름프로파일 ID이유참고

CIS Red Hat Enterprise Linux 8 Benchmark for Level 2 - 서버

xccdf_org.ssgproject.content_profile_cis

패키지 xorg-x11-server-Xorg,xorg-x11-server-server-common,xorg-x11-server-server -utils 및 xorg-x11-server-XwaylandGUI 패키지 세트를 사용하는 서버의 일부입니다. 그러나 정책에는 제거가 필요합니다.

 

CIS Red Hat Enterprise Linux 8 Benchmark for Level 1 - 서버

xccdf_org.ssgproject.content_profile_cis_server_l1

패키지 xorg-x11-server-Xorg,xorg-x11-server-server-common,xorg-x11-server-server -utils 및 xorg-x11-server-XwaylandGUI 패키지 세트를 사용하는 서버의 일부입니다. 그러나 정책에는 제거가 필요합니다.

 

비연방 정보 시스템 및 조직의 분류되지 않은 정보(NIST 800-171)

xccdf_org.ssgproject.content_profile_cui

nfs-utils 패키지는 GUI 패키지가 설정된 서버의 일부이지만 정책을 제거해야 합니다.

 

일반적인 용도 운영 체제를 위한 보안 프로필

xccdf_org.ssgproject.content_profile_ospp

nfs-utils 패키지는 GUI 패키지가 설정된 서버의 일부이지만 정책을 제거해야 합니다.

 

DISA STIG for Red Hat Enterprise Linux 8

xccdf_org.ssgproject.content_profile_stig

패키지 xorg-x11-server-Xorg,xorg-x11-server-server-common,xorg-x11-server-server -utils 및 xorg-x11-server-XwaylandGUI 패키지 세트를 사용하는 서버의 일부입니다. 그러나 정책에는 제거가 필요합니다.

RHEL 버전 8.4 이상에서 DISA STIG 와 일치하는 GUI 가 있는 서버로 RHEL 시스템을 설치하려면 DISA STIG with GUI 프로필을 사용할 수 있습니다.

6.9.2. 그래픽 설치를 사용하여 기준으로 호환되는 RHEL 시스템 배포

특정 기준과 일치하는 RHEL 시스템을 배포하려면 다음 절차를 사용하십시오. 이 예에서는 OSDPP(General Purpose Operating System)에 보안 프로필을 사용합니다.

주의

SCAP 보안 가이드의 일부로 제공되는 특정 보안 프로필은 GUI 기본 환경에서 서버에 포함된 확장 패키지 세트와 호환되지 않습니다. 자세한 내용은 GUI 서버와 호환되지 않는 프로필을 참조하십시오.

사전 요구 사항

  • graphical 설치 프로그램으로 부팅되었습니다. OSCAP Anaconda 애드온은 대화형 텍스트 전용 설치를 지원하지 않습니다.
  • Installation Summary 창에 액세스했습니다.

절차

  1. Installation Summary 창에서 Software Selection을 클릭합니다. Software Selection 창이 열립니다.
  2. Base Environment 창에서 Server 환경을 선택합니다. 기본 환경 하나만 선택할 수 있습니다.
  3. Done을 클릭하여 설정을 적용하고 Installation Summary 창으로 돌아갑니다.
  4. OSPP에는 충족해야 하는 엄격한 파티셔닝 요구 사항이 있으므로 /boot,/home, /var ,/tmp,/var /log,/var/tmp, /var/log/audit 에 대해 별도의 파티션을 생성하십시오.
  5. Security Policy를 클릭합니다. Security Policy 창이 열립니다.
  6. 시스템에서 보안 정책을 활성화하려면 Apply security policyON으로 전환합니다.
  7. 프로필 창에서 General Purpose Operating Systems의 Protection Profile for General Purpose Operating Systems를 선택합니다.
  8. Select Profile을 클릭하여 선택을 확인합니다.
  9. Changes that were done or need to be done을 확인합니다. 나머지 수동 변경 사항을 완료합니다.
  10. 그래픽 설치 프로세스를 완료합니다.

    참고

    성공적인 설치 후 그래픽 설치 프로그램은 해당 Kickstart 파일을 자동으로 생성합니다. /root/anaconda-ks.cfg 파일을 사용하여 OSPP 호환 시스템을 자동으로 설치할 수 있습니다.

검증

  • 설치가 완료된 후 시스템의 현재 상태를 확인하려면 시스템을 재부팅하고 새 검사를 시작합니다.

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

추가 리소스

6.9.3. Kickstart를 사용하여 기준 준수 RHEL 시스템 배포

특정 기준과 일치하는 RHEL 시스템을 배포할 수 있습니다. 이 예에서는 OSDPP(General Purpose Operating System)에 보안 프로필을 사용합니다.

사전 요구 사항

  • scap-security-guide 패키지는 RHEL 8 시스템에 설치됩니다.

절차

  1. 선택한 편집기에서 /usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfg Kickstart 파일을 엽니다.
  2. 구성 요구 사항에 맞게 파티션 구성표를 업데이트합니다. OSPP 규정 준수의 경우 /boot /home,/var,/tmp,/var/log,/var/tmp, /var/log/audit 에 대한 별도의 파티션을 유지해야 하며 파티션 크기만 변경할 수 있습니다.
  3. Kickstart를 사용하여 자동 설치를 수행하는 방법에 설명된 대로 Kickstart 설치를 시작합니다.
중요

Kickstart 파일의 암호는 OSPP 요구 사항에 대해 확인되지 않습니다.

검증

  • 설치가 완료된 후 시스템의 현재 상태를 확인하려면 시스템을 재부팅하고 새 검사를 시작합니다.

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.