第 19 章 安全性
以下章节包含 RHEL 9 和 RHEL 10 之间安全的最显著更改。
19.1. 安全合规更改 复制链接链接已复制到粘贴板!
使用 OSCAP Anaconda Addon 安装强化已删除
oscap-anaconda-addon 软件包已被删除。因此,RHEL 10 安装程序不再提供安全策略 spoke 和安装强化。除了已存在的镜像构建器选项外,RHEL 10 引进了一个更灵活且可自定义的方法来使用 Anaconda 和 Kickstart 强化系统。如需更多信息,请参阅使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像。
OpenSCAP
RHEL 10 中提供了 OpenSCAP 扫描程序的新版本 1.4.x。最重要的更改如下:
-
openscap软件包不再为libopenscap库提供openscap-devel子软件包,现在是没有公共 API 的内部库,对向后兼容的任何保证。openscap软件包提供没有保证 ABI 和 API 兼容性。 以下
ds子模块提供数据流合成功能的 ds 子模块已从oscap工具中删除:-
sds-compose -
sds-add -
sds-split -
rds-create -
rds-split
-
删除了以下不完整的模块:
-
cve -
cvss -
cvrf
-
删除了以下已弃用的命令行选项:
-
--template -
--OVAL-template -
--sce-template -
--skip-valid被删除,并被替换为--skip-validation
-
- 添加了新的 Kickstart 补救类型。
-
autotailor工具现在可以根据 JSON Tailoring 生成 XCCDF 定制文件。
SCAP 工作台
带有 SCAP Workbench GUI 工具的 scap-workbench 软件包已被删除。作为替代方案,您可以使用 oscap 和 autotailor 命令行工具或 Red Hat Insights 进行定制和扫描。如需更多信息,请参阅 Insights for RHEL 合规服务中的管理 SCAP 安全策略。
SCAP 安全指南
scap-security-guide 软件包不包含以下配置集:
- 常规目的操作系统的保护配置文件(OSPP)
- Centro Criptológico Nacional (CCN) - Basic
- Centro Criptológico Nacional (CCN) - Intermediate
有关 RHEL 10 中支持的配置文件的完整列表,请参阅 RHEL 10 中支持的 SCAP 安全配置集。