第 59 章 安全性
scap-security-guide 不建议使用 Red Hat Enterprise Linux 6 的 kickstart 文件示例
Red Hat Enterprise Linux 6 示例 kickstart 文件包含在 Red Hat Enterprise Linux 7 的 scap-security-guide 软件包中,直接从上游仓库安装最新版本的 scap-security-guide 软件包,这意味着红帽质量工程团队没有检查这个版本。要临时解决这个问题,使用当前 Red Hat Enterprise Linux 6 发行版本中包含的 scap-security-guide 软件包中的修正的 Red Hat Enterprise Linux 6 示例 kickstart 文件,或者手动更改 kickstart 文件中的 %post 部分。请注意,Red Hat Enterprise Linux 7 示例 kickstart 文件不受此问题的影响。(BZ#1378489)
openscap 软件包不会作为依赖项安装 atomic
OpenSCAP 套件启用集成标准的安全内容自动化协议(SCAP)行。当前版本添加了使用 atomic 扫描和 oscap-docker 命令扫描容器的功能。但是,当您只安装 openscap、openscap-utils 和 openscap-scanner 软件包时,默认不会安装 atomic 软件包。因此,任何容器扫描命令都失败并显示错误消息。要临时解决这个问题,以 root 用户身份运行 yum install atomic 命令安装 atomic 软件包。(BZ#1356547)
CIL 没有单独的 module 语句
新的 SELinux 用户空间在模块存储中使用 SELinux 通用中间语言(CIL)。CIL 将文件视为模块,且没有单独的 module 语句,该模块以文件名命名。因此,当策略模块的名称与其基本文件名不同时,这可能会导致混淆,而 semodule -l 命令不会显示模块版本。Additionaly, semodule -l 不显示禁用的模块。要临时解决这个问题,请使用 semodule --l=full 命令列出所有模块。(BZ#1345825)
