Pesquisar

5.7. Implantação de sistemas que estejam em conformidade com um perfil de segurança imediatamente após uma instalação

download PDF

Você pode usar o conjunto OpenSCAP para implantar sistemas RHEL que estejam em conformidade com um perfil de segurança, como OSPP ou PCI-DSS, imediatamente após o processo de instalação. Usando este método de implantação, você pode aplicar regras específicas que não podem ser aplicadas posteriormente usando scripts de correção, por exemplo, uma regra para a força da senha e particionamento.

5.7.1. Implantação de sistemas RHEL em conformidade com a basiléia, utilizando a instalação gráfica

Use este procedimento para implantar um sistema RHEL que esteja alinhado com uma linha de base específica. Este exemplo utiliza o Perfil de Proteção para Sistema Operacional de Propósito Geral (OSPP).

Pré-requisitos

  • Você iniciou no programa de instalação graphical. Note que o OSCAP Anaconda Add-on não suporta instalação somente de texto.
  • Você acessou a janela Installation Summary.

Procedimento

  1. A partir da janela Installation Summary, clique em Software Selection. A janela Software Selection se abre.
  2. A partir do painel Base Environment, selecione o ambiente Server. Você pode selecionar apenas um ambiente de base.

    Atenção

    Não utilize o ambiente base Server with GUI se você quiser implantar um sistema compatível. Os perfis de segurança fornecidos como parte do SCAP Security Guide podem não ser compatíveis com o conjunto de pacotes estendidos de Server with GUI. Para maiores informações, veja, por exemplo, BZ#1648162, BZ#1787156, ou BZ#1816199.

  3. Clique em Done para aplicar a configuração e retornar à janela Installation Summary.
  4. Clique em Security Policy. A janela Security Policy se abre.
  5. Para permitir políticas de segurança no sistema, mude a chave Apply security policy para ON.
  6. Selecione Protection Profile for General Purpose Operating Systems no painel de perfil.
  7. Clique em Select Profile para confirmar a seleção.
  8. Confirme as mudanças no painel Changes that were done or need to be done que é exibido na parte inferior da janela. Completar quaisquer alterações manuais restantes.
  9. Como o OSPP tem requisitos rigorosos de particionamento que devem ser cumpridos, crie partições separadas para /boot, /home, /var, /var/log, /var/tmp, e /var/log/audit.
  10. Completar o processo de instalação gráfica.

    Nota

    O programa de instalação gráfica cria automaticamente um arquivo Kickstart correspondente após uma instalação bem sucedida. Você pode usar o arquivo /root/anaconda-ks.cfg para instalar automaticamente sistemas compatíveis com OSPP.

Etapas de verificação

  1. Para verificar o status atual do sistema após a conclusão da instalação, reinicialize o sistema e inicie uma nova varredura:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Recursos adicionais

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.