第 19 章 安全性
以下章节包含 RHEL 9 和 RHEL 10 之间安全的最显著更改。
19.1. 安全合规更改 复制链接链接已复制到粘贴板!
使用 OSCAP Anaconda Addon 安装强化已删除
oscap-anaconda-addon
软件包已被删除。因此,RHEL 10 安装程序不再提供安全策略 spoke 和安装强化。除了已存在的镜像构建器选项外,RHEL 10 引进了一个更灵活且可自定义的方法来使用 Anaconda 和 Kickstart 强化系统。如需更多信息,请参阅使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像。
OpenSCAP
RHEL 10 中提供了 OpenSCAP 扫描程序的新版本 1.4.x。最重要的更改如下:
-
openscap
软件包不再为libopenscap
库提供openscap-devel
子软件包,现在是没有公共 API 的内部库,对向后兼容的任何保证。openscap
软件包提供没有保证 ABI 和 API 兼容性。 以下
ds
子模块提供数据流合成功能的 ds 子模块已从oscap
工具中删除:-
sds-compose
-
sds-add
-
sds-split
-
rds-create
-
rds-split
-
删除了以下不完整的模块:
-
cve
-
cvss
-
cvrf
-
删除了以下已弃用的命令行选项:
-
--template
-
--OVAL-template
-
--sce-template
-
--skip-valid
被删除,并被替换为--skip-validation
-
- 添加了新的 Kickstart 补救类型。
-
autotailor
工具现在可以根据 JSON Tailoring 生成 XCCDF 定制文件。
SCAP 工作台
带有 SCAP Workbench GUI 工具的 scap-workbench
软件包已被删除。作为替代方案,您可以使用 oscap
和 autotailor
命令行工具或 Red Hat Insights 进行定制和扫描。如需更多信息,请参阅 Insights for RHEL 合规服务中的管理 SCAP 安全策略。
SCAP 安全指南
scap-security-guide
软件包不包含以下配置集:
- 常规目的操作系统的保护配置文件(OSPP)
- Centro Criptológico Nacional (CCN) - Basic
- Centro Criptológico Nacional (CCN) - Intermediate
有关 RHEL 10 中支持的配置文件的完整列表,请参阅 RHEL 10 中支持的 SCAP 安全配置集。