第 21 章 安全性

CIS 和 DISA STIG 配置集作为 DRAFT 提供

该配置集基于互联网安全中心(CIS)和防御行业安全技术实施指南(DISA STIG)的基准，作为 DRAFT 提供，因为发出的机构尚未公布 RHEL 9 的官方基准。另外，OSSP 配置集在 DRAFT 中被实施。

OpenSCAP 不再支持 SHA-1 和 MD5

由于在 Red Hat Enterprise Linux 9 中删除 SHA-1 和 MD5 哈希功能后，从 OpenSCAP 中删除了对 OVAL filehash_test 的支持。另外，从 OpenSCAP 中的 OVAL filehash58_test 实现中删除了对 SHA-1 和 MD5 哈希功能的支持。因此，OpenSCAP 会评估使用 OVAL filehash_test 的 SCAP 内容中的规则作为 notchecked。另外，在评估 OVAL filehash58_test（filehash58_object 中的 hash_type 项设置为 SHA-1 或 MD5）时，OpenSCAP 会返回 notchecked。

OpenSCAP 使用数据流文件而不是 XCCDF 文件

SCAP 源数据流文件(ssg-rhel9-ds.xml)包含以前版本的 RHEL 中包含在 XCCDF 文件(ssg-rhel9-xccdf.xml)中的所有数据。SCAP 源数据流是一个容器文件，其包含执行合规性扫描所需的所有组件（XCCDF、OVAL 和 CPE）。从 RHEL 7 开始，建议使用 SCAP 源数据流而不是 XCCDF。在之前的 RHEL 版本中，XCCDF 文件和 SCAP 源数据流中的数据是重复的。在 RHEL 9 中，这种重复已被删除，以减少 RPM 软件包的大小。如果您的场景需要使用单独的文件而不是数据流，您可以使用这个命令分割数据流文件：# oscap ds-split /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml output_directory.