主页
产品
Red Hat Enterprise Linux
8
安全强化
6.9. 安装后立即部署符合安全配置集的系统

6.9. 安装后立即部署符合安全配置集的系统

您可以在安装过程后立即使用 OpenSCAP 套件部署符合安全配置集的 RHEL 系统，如 OSPP、PCI-DSS 和 HIPAA 配置集。使用此部署方法时，您可以使用修复脚本（例如密码强度和分区的规则）应用之后无法应用的特定规则。

6.9.1. 配置文件与 Server with GUI 不兼容
复制链接

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。因此，在安装与以下配置文件兼容的系统时，不要选择 Server with GUI ：

Expand

表 6.1. 配置文件与 Server with GUI 不兼容
配置文件名称	配置文件 ID	原因	备注
CIS Red Hat Enterprise Linux 8 基准第 2 级 - 服务器	`xccdf_org.ssgproject.content_profile_cis`	软件包 `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils` 和 `xorg-x11-server-Xwayland` 是 Server with GUI 软件包集合的一部分，但策略需要删除它们。
CIS Red Hat Enterprise Linux 8 基准第 1 级 - 服务器	`xccdf_org.ssgproject.content_profile_cis_server_l1`	软件包 `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils` 和 `xorg-x11-server-Xwayland` 是 Server with GUI 软件包集合的一部分，但策略需要删除它们。
非联邦信息系统和组织中的非保密信息(NIST 800-171)	`xccdf_org.ssgproject.content_profile_cui`	`nfs-utils` 软件包是 Server with GUI 软件包集合的一部分，但策略需要删除该软件包。
常规目的操作系统的保护配置文件	`xccdf_org.ssgproject.content_profile_ospp`	`nfs-utils` 软件包是 Server with GUI 软件包集合的一部分，但策略需要删除该软件包。
Red Hat Enterprise Linux 8 的 DISA STIG	`xccdf_org.ssgproject.content_profile_stig`	软件包 `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils` 和 `xorg-x11-server-Xwayland` 是 Server with GUI 软件包集合的一部分，但策略需要删除它们。	要将 RHEL 系统安装为与 RHEL 8.4 及之后的版本中的 DISA STIG 一致的 Server with GUI，您可以使用 DISA STIG with GUI 配置文件。

6.9.2. 使用图形安装部署基本兼容 RHEL 系统
复制链接

使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

警告

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。如需了解更多详细信息，请参阅与 GUI 服务器不兼容的配置文件。

先决条件

您已引导到 图形化 安装程序。请注意，OSCAP Anaconda Add-on 不支持交互式文本安装。
您已访问 安装概述 窗口。

流程

在 安装概述 窗口中点击 软件选择。此时会打开 软件选择窗口。
在 Base Environment 窗格中选择 服务器 环境。您只能选择一个基本环境。
点击 完成 应用设置并返回 安装概述 窗口。
由于 OSPP 有必须满足的严格的分区要求，所以为 /boot、/home、/var、/tmp、/var/log、/var/tmp 和 /var/log/audit 创建单独的分区。
点击 安全策略。此时会打开 Security Policy 窗口。
要在系统中启用安全策略，将Apply security policy 切换为 ON。
从配置集栏中选择 Protection Profile for General Purpose Operating Systems.
点 Select Profile 来确认选择。
确认在窗口底部显示 Changes that were done or need to be done。完成所有剩余的手动更改。
完成图形安装过程。
注意
图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用 /root/anaconda-ks.cfg 文件自动安装兼容 OSPP 的系统。

验证

要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描：

oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Copy to Clipboard

Toggle word wrap

6.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统
复制链接

您可以部署与特定基准一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

scap-security-guide 软件包已安装在 RHEL 8 系统上。

流程

在您选择的编辑器中打开 /usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfg Kickstart 文件。
更新分区方案以符合您的配置要求。对于 OSPP 合规性，必须保留 /boot、/home、/var、/tmp、/var/log、/var/tmp 和 /var/log/audit 的独立分区，您只能更改分区的大小。
按照使用 Kickstart 执行自动安装中所述来开始 Kickstart 安装。

重要

对于 OSPP 的要求，不检查 Kickstart 文件中的密码。

验证

要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描：

oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

Copy to Clipboard

Toggle word wrap

返回顶部

6.9. 安装后立即部署符合安全配置集的系统

6.9.1. 配置文件与 Server with GUI 不兼容
复制链接

6.9.2. 使用图形安装部署基本兼容 RHEL 系统
复制链接

6.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.9. 安装后立即部署符合安全配置集的系统

6.9.1. 配置文件与 Server with GUI 不兼容复制链接链接已复制到粘贴板!

6.9.2. 使用图形安装部署基本兼容 RHEL 系统复制链接链接已复制到粘贴板!

6.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.9.1. 配置文件与 Server with GUI 不兼容
复制链接

6.9.2. 使用图形安装部署基本兼容 RHEL 系统
复制链接

6.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统
复制链接