5.7. Implantação de sistemas que estejam em conformidade com um perfil de segurança imediatamente após uma instalação
Você pode usar o conjunto OpenSCAP para implantar sistemas RHEL que estejam em conformidade com um perfil de segurança, como OSPP ou PCI-DSS, imediatamente após o processo de instalação. Usando este método de implantação, você pode aplicar regras específicas que não podem ser aplicadas posteriormente usando scripts de correção, por exemplo, uma regra para a força da senha e particionamento.
5.7.1. Implantação de sistemas RHEL em conformidade com a basiléia, utilizando a instalação gráfica
Use este procedimento para implantar um sistema RHEL que esteja alinhado com uma linha de base específica. Este exemplo utiliza o Perfil de Proteção para Sistema Operacional de Propósito Geral (OSPP).
Pré-requisitos
-
Você iniciou no programa de instalação
graphical
. Note que o OSCAP Anaconda Add-on não suporta instalação somente de texto. -
Você acessou a janela
Installation Summary
.
Procedimento
-
A partir da janela
Installation Summary
, clique emSoftware Selection
. A janelaSoftware Selection
se abre. A partir do painel
Base Environment
, selecione o ambienteServer
. Você pode selecionar apenas um ambiente de base.AtençãoNão utilize o ambiente base
Server with GUI
se você quiser implantar um sistema compatível. Os perfis de segurança fornecidos como parte do SCAP Security Guide podem não ser compatíveis com o conjunto de pacotes estendidos deServer with GUI
. Para maiores informações, veja, por exemplo, BZ#1648162, BZ#1787156, ou BZ#1816199.-
Clique em
Done
para aplicar a configuração e retornar à janelaInstallation Summary
. -
Clique em
Security Policy
. A janelaSecurity Policy
se abre. -
Para permitir políticas de segurança no sistema, mude a chave
Apply security policy
paraON
. -
Selecione
Protection Profile for General Purpose Operating Systems
no painel de perfil. -
Clique em
Select Profile
para confirmar a seleção. -
Confirme as mudanças no painel
Changes that were done or need to be done
que é exibido na parte inferior da janela. Completar quaisquer alterações manuais restantes. -
Como o OSPP tem requisitos rigorosos de particionamento que devem ser cumpridos, crie partições separadas para
/boot
,/home
,/var
,/var/log
,/var/tmp
, e/var/log/audit
. Completar o processo de instalação gráfica.
NotaO programa de instalação gráfica cria automaticamente um arquivo Kickstart correspondente após uma instalação bem sucedida. Você pode usar o arquivo
/root/anaconda-ks.cfg
para instalar automaticamente sistemas compatíveis com OSPP.
Etapas de verificação
Para verificar o status atual do sistema após a conclusão da instalação, reinicialize o sistema e inicie uma nova varredura:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Recursos adicionais
- Para mais detalhes sobre particionamento, consulte Configuração de particionamento manual.