2.3. 创建 USGCB 兼容的安装映像
Red Hat Enterprise Linux 6 里的 scap-security-guide 软件包包含专门的 Kickstart 文件,它可以用来安装遵循 United States Government Configuration Baseline (USGCB) 标准的系统。当政府法规要求与此标准合规时,这就很有用。
Kickstart 配置可以和 Red Hat Enterprise Linux 6 的服务器变体一起使用。此时,作为安装后期脚本的一部分,系统将由 OpenSCAP 自动配置为 USGCB 配置集兼容的系统。在安装完成后,您可以复查放入系统上
/root/
目录里的报告。
注意
scap-security-guide 提供的 Kickstart 文件包含所有要求的命令,使得安装完全自动化。
请注意在安装过程中 Kickstart 文件需要访问互联网来下载最新的基准文件。
关于使用 OpenSCAP 进行合规型和漏洞扫描的更多信息,请参阅《Red Hat Enterprise Linux 6 安全指南》里的相关章节。
要获得 Kickstart 文件,请在现有的 Red Hat Enterprise Linux 6 系统上安装 scap-security-guide 软件包。安装了软件包后,您可以在
/usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg
里找到 Kickstart 文件。
获得这个文件后,将其复制到您的主目录并用文本编辑器进行编辑。请在文件里使用 第 32.4 节 “kickstart 选项” 和注释进行引用。其中一些注释提到 Common Configuration Enumeration (CCE) 标识符号码,您可以在 CCE Archive 里找到相关的信息。
Kickstart 文件里值得注意的一些可以修改的内容是:
- 软件包资料库位置 -
url
命令。要使用 HTTP 或 FTP 服务器上的软件包资料库,请用包含软件包资料库的服务器地址替换默认的 IP 地址。用nfs
、cdrom
或harddrive
命令分别从 NFS 服务器、光驱或本地磁盘上进行安装。 - 系统语言、键盘格式和时区 -
lang
、keyboard
和timezone
命令。 - 根密码-
rootpw
命令。在默认情况下,这个 Kickstart 里配置的根密码是 "server"。请确保生成新的校验和并修改台。 - 引导加载器密码 -
bootloader --password=
命名。默认的密码是 "password"。请确保生成新的校验和并修改台。 - 网络配置 -
network
命令。默认启用 DHCP - 如有需要则调节设置。 - 软件包选择 - 修改文件的
%packages
部分来安装所需的软件包和组。重要
您必须安装软件包 git、aide 和 openscap-utils。它们是 Kickstart 文件和 OpenSCAP 系统评估的 post 安装正常运行所要求的。 - 磁盘分区格式 -
part
、volgroup
和logvol
命令。USGCB 标准定义了对兼容系统的磁盘格式的具体要求,这意味着默认 Kickstart 文件里定义的逻辑卷 -/home
、/tmp
、/var
、/var/log
和/var/log/audit
- 必须总是创建为单独的分区或逻辑卷。此外,Red Hat Enterprise Linux 要求您为/
和swap
创建/boot
物理分区和卷。这些都在默认 Kickstart 文件里进行定义,您可以添加额外的单独逻辑卷或分区,您也可以修改默认的大小。注意
在默认情况下,/var/log/audit
卷只占用最多 512 MB 空间。由于被审计的调用的数量很多,我们强烈推荐将其增至至少 1024 MB。
Kickstart 文件的其他部分可以直接使用。在修改完文件后,请通过 第 32.8.1 节 “创建 kickstart 引导介质” 将其放入 ISO 映像并用来安装新的系统。