9.3. 시스템 업그레이드에 보안 기준 개선
RHEL 8으로 업그레이드한 후 완전히 강화된 시스템을 얻으려면 OpenSCAP 제품군에서 제공하는 자동화된 수정을 사용할 수 있습니다. OpenSCAP 수정을 통해 PCI-DSS, OSPP 또는 ACSC Eight와 같은 보안 기준선에 맞게 시스템을 조정합니다. 구성 규정 준수 권장 사항은 보안 제품의 진화로 인해 Red Hat Enterprise Linux의 주요 버전마다 다릅니다.
강화된 RHEL 7 시스템을 업그레이드할 때 Leapp
툴은 완전한 강화를 유지할 수 있는 직접 방법을 제공하지 않습니다. 구성 요소 구성의 변경 사항에 따라 업그레이드 중 RHEL 8의 권장 사항과 다를 수 있습니다.
RHEL 7 및 RHEL 8을 스캔하는 데 동일한 SCAP 콘텐츠를 사용할 수 없습니다. 시스템 규정 준수가 Red Hat Satellite 또는 Red Hat Insights와 같은 툴에 의해 관리되는 경우 관리 플랫폼을 업데이트합니다.
자동화된 수정 대신 OpenSCAP 생성 보고서를 따라 수동으로 변경할 수 있습니다. 규정 준수 보고서를 생성하는 방법에 대한 자세한 내용은 보안 규정 준수 및 취약점에 대한 시스템 검사를 참조하십시오.
절차에 따라 PCI-DSS 프로파일로 시스템을 자동으로 강화합니다.
자동 수정은 기본 구성에서 RHEL 시스템을 지원합니다. 설치 후 시스템 업그레이드가 변경되었으므로 실행 중인 수정을 통해 필요한 보안 프로필을 완전히 준수하지 못할 수 있습니다. 일부 요구 사항을 수동으로 수정해야 할 수도 있습니다.
사전 요구 사항
-
scap-security-guide
패키지는 RHEL 8 시스템에 설치됩니다.
절차
적절한 보안 컴플라이언스 데이터 스트림
.xml
파일을 찾습니다.$ ls /usr/share/xml/scap/ssg/content/ ssg-firefox-cpe-dictionary.xml ssg-rhel6-ocil.xml ssg-firefox-cpe-oval.xml ssg-rhel6-oval.xml ... ssg-rhel6-ds-1.2.xml ssg-rhel8-oval.xml ssg-rhel8-ds.xml ssg-rhel8-xccdf.xml ...
자세한 내용은 규정 준수 프로필 보기를 참조하십시오.
적절한 데이터 스트림에서 선택한 프로필에 따라 시스템을 교정합니다.
# oscap xccdf eval --profile pci-dss --remediate /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
--profile
인수의pci-dss
값을 시스템 강화하려는 프로필 ID로 교체할 수 있습니다. RHEL 8에서 지원되는 전체 프로필 목록은 RHEL에서 지원되는 SCAP 보안 프로필을 참조하십시오.주의Remediate 옵션을 사용하여 시스템 평가를 수행한 경우 신중하게 수행하지 않으면 시스템이 작동하지 않을 수 있습니다. Red Hat은 보안 강화 수정으로 인한 변경 사항을 되돌릴 수 있는 자동화된 방법을 제공하지 않습니다. 수정은 기본 구성의 RHEL 시스템에서 지원됩니다. 설치 후 시스템이 변경된 경우 수정을 실행하여 필요한 보안 프로필을 준수하지 못할 수 있습니다.
시스템을 다시 시작하십시오.
# reboot
검증
시스템이 프로필과 호환되는지 확인하고 결과를 HTML 파일에 저장합니다.
$ oscap xccdf eval --report pcidss_report.html --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
추가 리소스
-
시스템의
scap-security-guide
도움말 페이지(8)
및 oscap(8) - 보안 규정 준수 및 취약점에 대한 시스템 스캔
- Red Hat Insights 보안 정책 문서
- Red Hat Satellite 보안 정책 문서