17.13. 可选:选择一个安全配置文件


您可以在 Red Hat Enterprise Linux 9 安装过程中应用安全策略,并将其配置为在第一次引导前在系统上使用。

17.13.1. 关于安全策略

Red Hat Enterprise Linux 包括 OpenSCAP 套件,以便自动配置系统与特定安全策略保持一致。该策略使用安全内容自动化协议(SCAP)标准实施。这些软件包包括在 AppStream 存储库中。但是,默认情况下,安装和安装后进程不会强制任何策略,因此不会涉及任何检查,除非进行了特别配置。

应用安全策略不是安装程序的强制功能。如果您向系统应用了一个安全策略,则会使用您选择的配置文件中定义的限制来安装它。openscap-scannerscap-security-guide 软件包会添加到您的软件包选择,为合规和漏洞扫描提供预安装工具。

当您选择安全策略时,Anaconda GUI 安装程序需要进行配置以符合该策略的要求。可能会有冲突的软件包选择,以及定义的独立分区。只有在满足所有要求后,就可以开始安装。

在安装过程结束时,所选的 OpenSCAP 安全策略会自动强化系统并扫描它以验证合规性,将扫描结果保存到已安装系统上的 /root/openscap_data 目录中。

默认情况下,安装程序使用安装镜像中捆绑的 scap-security-guide 软件包的内容。您还可以从 HTTP、HTTPS 或者 FTP 服务器载入外部内容。

17.13.2. 配置安全配置文件

您可以从 安装概述 窗口配置安全策略。

前提条件

  • 打开 Installation Summary 窗口。

流程

  1. Installation Summary 窗口中点击 Security Profile。此时会打开 Security Profile 窗口。
  2. 要在系统中启用安全策略,将Apply security policy 设置为 ON
  3. 从上面的方框中选择一个配置集。
  4. 点击 Select profile

    安装前必须应用的配置集的更改出现在底部方框中。

  5. 点击 更改内容 使用自定义配置集。

    此时会打开 一 个单独的窗口,允许您输入一个有效安全内容的 URL。

    1. 点击 Fetch 以检索 URL。

      您可以从 HTTPHTTPS 或者 FTP 服务器载入自定义配置集。使用包括协议内容的完整地址,比如 http://。在载入自定义配置集前必须激活网络连接。安装程序自动检测内容类型。

    2. Use SCAP Security Guide 返回 Security Profile 窗口。
  6. 点击 完成 按钮应用该设置并返回 安装概述 窗口。

17.13.3. 配置文件与 Server with GUI 不兼容

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。因此,在安装与以下配置文件兼容的系统时,不要选择 Server with GUI

表 17.2. 配置文件与 Server with GUI 不兼容
配置文件名称配置文件 ID原因备注

[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 2 级 - 服务器)

xccdf_org.ssgproject.content_profile_cis

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集的一部分,但该策略需要删除它们。

 

[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 1 级 - 服务器)

xccdf_org.ssgproject.content_profile_cis_server_l1

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集的一部分,但该策略需要删除它们。

 

DISA STIG for Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集的一部分,但该策略需要删除它们。

要将 RHEL 系统安装为 Server with GUI 以与 DISA STIG 一致,您可以使用 DISA STIG with GUI profile BZ#1648162

17.13.4. 使用 Kickstart 部署符合基准的 RHEL 系统

您可以部署与特定基准一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

  • scap-security-guide 软件包会在 RHEL 9 系统中安装。

流程

  1. 在您选择的编辑器中打开 /usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg Kickstart 文件。
  2. 更新分区方案以符合您的配置要求。为了遵守 OSPP ,必须保留 /boot/home/var/tmp/var/log/var/tmp/var/log/audit 的独立分区,您只能更改分区的大小。
  3. 按照 使用 Kickstart 执行自动安装 中所述来开始 Kickstart 安装。
重要

对于 OSPP 的要求,无法检查 Kickstart 文件中的密码。

验证

  • 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.