10.13. 可选:选择一个安全配置文件
您可以在 Red Hat Enterprise Linux 9 安装过程中应用安全策略,并将其配置为在第一次引导前在系统上使用。
10.13.1. 关于安全策略
Red Hat Enterprise Linux 包括 OpenSCAP 套件,以便自动配置系统与特定安全策略保持一致。该策略使用安全内容自动化协议(SCAP)标准实施。这些软件包包括在 AppStream 存储库中。但是,默认情况下,安装和安装后进程不会强制任何策略,因此不会涉及任何检查,除非进行了特别配置。
应用安全策略不是安装程序的强制功能。如果您向系统应用了一个安全策略,则会使用您选择的配置文件中定义的限制来安装它。openscap-scanner
和 scap-security-guide
软件包会添加到您的软件包选择,为合规和漏洞扫描提供预安装工具。
当您选择安全策略时,Anaconda GUI 安装程序需要进行配置以符合该策略的要求。可能会有冲突的软件包选择,以及定义的独立分区。只有在满足所有要求后,就可以开始安装。
在安装过程的最后,所选的 OpenSCAP 安全策略会自动强化系统,并扫描系统以验证合规性,将扫描结果保存到已安装系统上的 /root/openscap_data
目录中。
默认情况下,安装程序使用安装镜像中捆绑的 scap-security-guide
软件包的内容。您还可以从 HTTP、HTTPS 或者 FTP 服务器载入外部内容。
10.13.2. 配置安全配置文件
您可以从 Installation Summary 窗口配置安全策略。
前提条件
- 打开 安装概述 窗口。
流程
- 在 Installation Summary 窗口中点击 Security Profile。此时会打开 Security Profile 窗口。
- 要在系统中启用安全策略,将Apply security policy 设置为 ON。
- 从上面的方框中选择一个配置集。
点击
。安装前必须应用的配置集的更改出现在底部方框中。
点击
使用自定义配置集。此时会打开 一 个单独的窗口,允许您输入一个有效安全内容的 URL。
点击
以检索 URL。您可以从 HTTP、HTTPS 或者 FTP 服务器载入自定义配置集。使用包括协议内容的完整地址,比如 http://。在载入自定义配置集前必须激活网络连接。安装程序自动检测内容类型。
- 点 Security Profile 窗口。 返回到
- 点击 安装概述 窗口。 按钮应用该设置并返回
10.13.3. 配置文件与 Server with GUI 不兼容
作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。因此,在安装与以下配置文件兼容的系统时,不要选择 Server with GUI :
配置文件名称 | 配置文件 ID | 原因 | 备注 |
---|---|---|---|
[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 2 级 - 服务器) |
|
软件包 | |
[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 1 级 - 服务器) |
|
软件包 | |
DISA STIG for Red Hat Enterprise Linux 9 |
|
软件包 | 要将 RHEL 系统安装为 Server with GUI 以与 DISA STIG 一致,您可以使用 DISA STIG with GUI profile BZ#1648162 |
10.13.4. 使用 Kickstart 部署符合基准的 RHEL 系统
您可以部署与特定基准一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。
先决条件
-
scap-security-guide
软件包会在 RHEL 9 系统中安装。
流程
-
在您选择的编辑器中打开
/usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg
Kickstart 文件。 -
更新分区方案以符合您的配置要求。为了遵守 OSPP ,必须保留
/boot
、/home
、/var
、/tmp
、/var/log
、/var/tmp
和/var/log/audit
的独立分区,您只能更改分区的大小。 - 按照 使用 Kickstart 执行自动安装 中所述来开始 Kickstart 安装。
对于 OSPP 的要求,无法检查 Kickstart 文件中的密码。
验证
要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml