Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

评估和监控 RHEL 系统的安全策略合规性

Red Hat Insights 1-latest

了解 Red Hat Enterprise Linux 基础架构的安全合规状态

Red Hat Customer Content Services

摘要

评估并跟踪 RHEL 环境的安全策略合规性状态,以确定合规级别并规划解决合规性问题的方法。
红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。我们从这四个术语开始:master、slave、黑名单和白名单。由于此项工作十分艰巨,这些更改将在即将推出的几个发行版本中逐步实施。详情请查看 CTO Chris Wright 信息

第 1 章 Red Hat Insights 合规服务概述
复制链接

Red Hat Insights for Red Hat Enterprise Linux 合规服务使 IT 安全和合规性管理员能够评估、监控和报告 RHEL 系统安全策略合规性。

合规服务提供简单但强大的用户界面,支持创建、配置和管理 SCAP 安全策略。通过内置过滤和上下文添加的功能,IT 安全管理员可轻松识别和管理 RHEL 基础架构中的安全合规问题。

本文档描述了合规性服务的一些功能,以帮助用户了解报告、管理问题并从服务中获取最大值。

您还可以创建 Ansible Playbook 来解决安全合规问题,并与利益相关者共享报告,以传达合规性状态。

1.1. 要求和先决条件
复制链接

合规服务是 Red Hat Enterprise Linux 的 Red Hat Insights 的一部分,它包括在您的 Red Hat Enterprise Linux (RHEL)订阅中,并可与红帽当前支持的 RHEL 版本一起使用。您不需要额外的红帽订阅来使用 Insights for Red Hat Enterprise Linux 和合规性服务。

1.2. 支持的配置
复制链接

红帽为每个 Red Hat Enterprise Linux (RHEL)的次版本支持 SCAP 安全指南(SSG)的特定版本。SSG 版本中的规则和策略只对一个 RHEL 次版本有效。要接收准确的合规性报告,系统必须安装有受支持的 SSG 版本。

Red Hat Enterprise Linux 次版本提供并升级支持的 SSG 版本。但是,在升级前,一些机构可能会决定临时继续使用较早的版本。

如果策略包括使用不支持的 SSG 版本的系统,在 Security > Compliance > Reports 中的策略旁边有一个 不受支持的 警告(在受影响的系统的数量前)。

注意

有关 RHEL 中支持哪些 SCAP 安全指南版本的更多信息,请参阅 Insights Compliance - 支持的配置

运行不支持的 SSG 版本的系统的合规策略示例

Shows DISA STIG for RHEL 7 policy with an alert about 1 system running an unsupported version of SCAP Security Guide

1.2.1. 有关合规服务的常见问题
复制链接

如何解释 SSG 软件包名称?

软件包名称类似如下: scap-security-guide-0.1.43-13.el7。本例中的 SSG 版本为 0.1.43;发行版本为 13,架构为 el7。发行号可能与表中所示的版本号不同,但版本号必须与以下所示匹配,以便它成为受支持的配置。

如果红帽为 RHEL 次版本支持多个 SSG?

当 RHELminor 版本支持多个 SSG 版本时,如 RHEL 7.9 和 RHEL 8.1 一样,合规服务将使用最新的可用版本。

为什么 SSG 不再支持旧策略?

当 RHEL 次版本老时,支持较少的 SCAP 配置集。要查看支持 SCAP 配置集,请参阅 Insights Compliance - 支持的配置

有关不支持的配置限制的更多信息

以下条件适用于不支持的配置的结果:

  • 这些结果是一个 "best-guess" 工作,因为使用除红帽支持以外的任何 SSG 版本可能会导致不准确的结果。

    重要

    虽然您仍然可以看到安装了不支持的 SSG 版本的系统的结果,但这些结果可能会被视为不准确的合规性报告。

  • 使用不支持的 SSG 版本的系统 的结果不包括在 策略的整体合规评估中。
  • 在安装了不支持的 SSG 版本的系统中,无法使用补救功能。

1.3. 最佳实践
复制链接

为了从最佳用户体验中受益,并在合规服务中获得最准确的结果,红帽建议您遵循一些最佳实践。

确保 RHEL OS 系统次版本对 Insights 客户端可见

如果合规服务无法看到您的 RHEL OS 次版本,则无法验证支持的 SCAP 安全指南版本,且您的报告可能并不准确。Insights 客户端允许用户从上传到 Red Hat Enterprise Linux for Red Hat Enterprise Linux 的数据有效负载中重新定义某些数据(包括 Red Hat Enterprise Linux OS 次版本)。这将禁止准确的合规服务报告。

要了解更多有关数据分析的信息,请参阅以下文档: Red Hat Insights 客户端数据 redaction

在合规服务中创建安全策略

在合规服务中创建机构的安全策略允许您:

  • 将多个系统与策略相关联。
  • 将支持的 SCAP 安全指南用于 RHEL 次版本。
  • 根据您的机构的要求,编辑包含哪些规则。

1.4. Red Hat Hybrid Cloud 控制台中的用户访问设置
复制链接

用户访问是红帽实施基于角色的访问控制(RBAC)。机构管理员使用 User Access 来配置用户在 Red Hat Hybrid Cloud Console (控制台)上可以看到和执行的操作:

  • 通过组织角色而不是单独为用户分配权限来控制用户访问权限。
  • 创建包含角色及其对应权限的组。
  • 将用户分配给这些组,以便用户继承与其组角色关联的权限。

1.4.1. 预定义的用户访问组和角色
复制链接

为了便于管理组和角色,红帽提供了两个预定义的组和一组预定义的角色:

  • 预定义的组

    Default access 组包含 您机构中的所有用户。很多预定义角色被分配给此组。红帽会自动更新。

    注意

    如果机构管理员对 Default access 组进行了更改,则其名称会更改为 Custom default access 组,且不再由红帽更新。

    Default admin access 组仅包含具有机构管理员权限的用户。这个组会自动维护,且无法更改此组中的用户和角色。

    在 Hybrid Cloud Console 中,导航到 Red Hat Hybrid Cloud Console > Settings 图标(wagon)> Identity & Access Management > User Access > Groups 来查看您的帐户中的当前组。此视图仅限于机构管理员。

  • 分配给组的预定义角色

    Default access 组包含许多预定义的角色。由于您机构中的所有用户都是 Default access 组的成员,因此它们会继承分配给该组的所有权限。

    Default admin access 组包括许多(但不包括所有)提供更新和删除权限的预定义角色。此组中的角色通常会将 管理员 包含在其名称中。

    在 Hybrid Cloud Console 中,导航到 Red Hat Hybrid Cloud Console > Settings 图标(wagon)> Identity & Access Management > User Access > Roles 以查看您的帐户中的当前角色。您可以查看每个角色分配到的组数量。此视图仅限于机构管理员。

1.4.2. 访问权限
复制链接

预定义角色提供您必须具有的权限的每个流程列表 的先决条件。作为用户,您可以进入 Red Hat Hybrid Cloud Console > Settings 图标(wagon)> My User Access 来查看当前继承的角色和应用程序权限。

如果您尝试访问 Insights for Red Hat Enterprise Linux 功能,并查看您没有执行此操作的消息,则必须获得额外的权限。您的机构的机构管理员或 User Access 管理员配置这些权限。

使用 Red Hat Hybrid Cloud Console Virtual Assistant 来询问"联系我的机构管理员"。该助手可代表您向机构管理员发送电子邮件。

其他资源

有关用户访问和权限的更多信息,请参阅基于角色的访问控制(RBAC)的用户访问控制指南

1.4.3. compliance-service 用户的用户访问角色
复制链接

以下角色启用了标准或增强的对 Red Hat Enterprise Linux Insights 中合规功能的访问:

  • 合规视图.授予对任何合规资源的读取访问权限的 compliance-service 角色。
  • 合规管理员.可访问任何合规资源的 compliance-service 角色。如果流程需要您被授予 Compliance administrator 角色或其他增强的权限,它将在该流程 的先决条件 中记录。

第 2 章 使用合规性服务
复制链接

本节论述了如何配置 RHEL 系统,将合规性数据报告到 Insights for RHEL 应用程序。这会安装必要的其他组件,如 SCAP 安全指南(SSG),用于执行合规性扫描。

先决条件

  • Insights 客户端部署到系统上。
  • 必须具有系统上的 root 权限。

流程

  1. 检查系统中的 RHEL 版本: 

    [user@insights]$ ​​cat /etc/redhat-release
    Copy to Clipboard Toggle word wrap

  2. 查看 Insights Compliance - 支持的配置 文章,并记录系统上 RHEL 次版本的支持的 SSG 版本。

    注意

    RHEL 的一些次版本支持多个 SSG 版本。Insights 合规性服务始终会显示最新支持版本的结果。

  3. 检查系统中是否安装了支持的 SSG 软件包版本:

    示例 - 对于 RHEL 8.4 运行: 

    [root@insights]# dnf info scap-security-guide-0.1.57-3.el8_4
    Copy to Clipboard Toggle word wrap

  4. 如果还没有安装,请在系统上安装支持的 SSG 版本。

    示例 - 对于 RHEL 8.4 运行: 

    [root@insights]# dnf install scap-security-guide-0.1.57-3.el8_4
    Copy to Clipboard Toggle word wrap

  5. 使用 Insights 合规服务 UI 或 CLI 中使用 insights-client 命令将系统分配给策略:

  6. 将每个系统添加到所需的安全策略后,返回到系统并运行合规性扫描: 

    [root@insights]# insights-client --compliance
    Copy to Clipboard Toggle word wrap
    注意

    扫描可能需要 1 到 5 分钟才能完成。

  7. 导航到 Security > Compliance > Reports 以查看结果。
  8. 可选: 调度合规作业以使用 cron 运行。

2.1. 为 Insights 服务设置重复扫描
复制链接

要获得来自 Red Hat Insights 服务(如合规性和恶意软件检测)的最准确建议,您可能需要手动扫描数据收集报告,并定期调度将数据收集报告上传到服务。

使用以下 insights-client 命令手动运行命令: 

# insights-client --compliance
# insights-client --collector malware-detection
Copy to Clipboard Toggle word wrap

目前,Insights 没有自动调度程序来为您执行扫描,但您可以配置 cron 任务来调度自动扫描。

重要

在创建 cron 作业前,请确保在手动运行时命令可以正常工作。

先决条件

  • 您要使用的服务(合规性和中间件检测)已配置并在您的系统中运行。

流程

  1. 在系统提示符处,发出 crontab -e 命令来编辑 crontab 文件。此命令会打开您的默认文本编辑器。 

    $ crontab -e
    Copy to Clipboard Toggle word wrap

  2. 为您要运行的服务添加 crontab 条目。例如: 

    10 20 * * * /bin/insights-client --compliance
10 21 * * * /bin/insights-client --collector malware-detection
    Copy to Clipboard Toggle word wrap

    在本例中,第一个命令每天 20:10 本地将 Compliance 报告上传到 Insights。第二个命令会在 21:10 本地时间将恶意软件检测报告上传到 Insights。

  3. 保存文件并退出文本编辑器。

完全在合规服务 UI 中创建和管理 SCAP 安全策略。定义新策略并选择您要与它们关联的规则和系统,并在您的要求更改时编辑现有策略。

重要

与大多数 Red Hat Enterprise Linux 服务的其他 Red Hat Insights 不同,合规服务不会在默认调度上自动运行。要将 OpenSCAP 数据上传到 Insights for Red Hat Enterprise Linux 应用程序,您必须针对您设置的调度作业运行 insights-client --compliance

3.1. 创建新的 SCAP 策略
复制链接

在执行扫描或在合规性服务 UI 中查看扫描结果前,您必须将每个 Red Hat Enterprise Linux 的 Insights 注册到一个或多个安全策略中。要创建新策略,并包含特定的系统和规则,请完成以下步骤:

重要

如果您的 RHEL 服务器跨越多个 RHEL 主版本,则必须为每个主版本创建一个单独的策略。例如,您的所有 RHEL 7 服务器都位于一个标准的系统安全 配置集中,适用于 RHEL 策略,所有 RHEL 8 服务器都将位于另一个服务器上。

流程

  1. 进入 Security > Compliance > SCAP Policies 页面。
  2. Create new policy 按钮。

  3. 在向导的 Create SCAP policy 页面中,选择您要包含在策略中的系统的 RHEL 主版本

    Create policy wizard with RHEL 8 operating system selected and options to select policy types unselected

  4. 选择适用于 RHEL 主版本 的策略类型之一,然后单击 Next
  5. Details 页面中,接受已提供的名称和描述,或者提供您自己的更有意义的条目。
  6. (可选)为提供上下文添加业务目标,例如"CISO 强制"。
  7. 为您的要求定义可接受的 合规性阈值,然后点 Next
  8. 选择要包含在 此策略 上的系统,然后点 Next。您第一步中 RHEL 主版本的选择会自动决定哪些系统可以添加到此策略中。

  9. 选择要包含在每个策略中的规则。因为 RHEL 的每个次版本都支持使用特定的 SCAP 安全指南(SSG)版本(有时有多个版本,因此我们使用最新的版本),因此每个 RHEL 次版本的规则设置稍有不同,必须单独选择。

    Shows three RHEL versions with minor RHEL version 8.2 tab selected for starting to select rules to apply

    1. (可选)使用过滤和搜索功能来优化规则列表。

      例如,若要仅显示最高严重性规则,请单击主过滤器下拉菜单并选择 严重性。在二级过滤器中,选中 HighMedium 框。

      Highlights RHEL version 8.2 tab selected and High and medium levels of severity for rules to filter by

    2. 默认情况下,显示的规则是针对该策略类型和 SSG 版本指定的规则。默认情况下,启用过滤器框旁边的 Selected only 切换。如果需要,您可以删除此切换。
    3. 根据需要 为每个 RHEL 次版本标签页 重复此过程。
    4. 为每个 Red Hat Enterprise Linux 次版本 SSG 选择规则后,点 Next
  10. Review 页面中,验证显示的信息是否正确,然后点 Finish
  11. 为 app 留出一分钟时间来创建策略,然后单击 返回至应用程序 按钮,以查看您的新策略。
注意

您必须进入系统并运行合规性扫描,然后才能在合规服务 UI 中显示结果。

3.2. 编辑合规策略
复制链接

创建合规策略后,您可以稍后编辑策略以更改策略详情,或包含哪些规则或系统。

使用以下步骤编辑策略以满足您的机构需求。

用户访问备注

编辑策略中所包含的规则和系统要求用户成为具有 Compliance adminstrator 角色的用户访问组的成员。Compliance admistrator 角色包括没有默认授予 Red Hat Enterprise Linux 用户的所有 Insights 的增强权限。

3.2.1. 编辑策略详情
复制链接

先决条件

  • 已登陆到 Red Hat Hybrid Cloud 控制台。

流程

  1. 进入 Security > Compliance > SCAP policies 页面。
  2. 找到您要编辑的策略。
  3. 点策略名称。这会打开策略详情视图。

  4. 只要您看到铅笔图标,您可以点该图标来编辑该字段中的详情。可编辑的字段包括

    • Compliance threshold
    • 商业目标
    • 策略描述
  5. 编辑完字段后,单击字段右侧的蓝色复选标记来保存输入。

3.2.2. 编辑包含的规则
复制链接

先决条件

  • 已登陆到 Red Hat Hybrid Cloud 控制台。
  • 您有 Compliance administrator User Access 权限。

流程

  1. 进入 Security > Compliance > SCAP policies 页面。
  2. 找到您要编辑的策略。
  3. 在策略行的右侧,点 More actions 图标 more actions icon ,然后点 Edit policy
  4. 在 Edit 弹出窗口中,点 Rules 选项卡。

  5. 点 RHEL 次版本。

    重要

    因为每个 RHEL 次版本都有不同的 SCAP Security Guide (SSG)版本,所以您必须单独编辑每个 RHEL 次要版本的规则。

  6. 使用 Name 过滤器和搜索功能来查找要删除的规则。

    注意

    选择了 Name 主过滤器,您可以根据规则名称或其标识符进行搜索。

  7. 取消选中您要删除的任何规则旁边的框。

    ,选中您要添加的任何规则旁边的框。

  8. 为每个 RHEL 次版本标签页重复这些步骤。
  9. 点击 Save

验证

  1. 进入到 Security > Compliance > SCAP policies 页面,找到编辑的策略。
  2. 点策略,并验证包含的规则是否与您所做的编辑一致。

3.2.3. 编辑包含的系统
复制链接

  1. 进入 Security > Compliance > SCAP policies 页面。
  2. 找到您要编辑的策略。
  3. 在策略行的右侧,点 More actions 图标 more actions icon ,然后点 Edit policy

  4. 在 Edit 弹出窗口中,点 Systems 选项卡。

    此时会显示所有可用系统的列表。

    包含在策略中的系统在系统名称左侧有一个复选框。

    系统名称旁边没有勾选标记的系统不会包含在此策略中。

  5. 按名称搜索系统。要在策略中包含该系统,请选中系统名称旁边的框。

    ,要从策略中删除系统,请取消选中系统名称旁边的框。

  6. Save 保存您的更改。

验证

  1. 进入到 Security > Compliance > SCAP policies 页面,找到编辑的策略。
  2. 点策略,并验证包括的系统是否与您所做的编辑一致。

3.3. 使用 insights-client 命令查看 SCAP 策略
复制链接

将您的系统注册到 Insights 后,您可以使用 insights-client --compliance-policies 命令查看该系统的所有可用合规策略。

先决条件

  • Insights 客户端安装在系统上。
  • 登录到具有 root 权限的系统。

流程

  • 在命令行中输入: 

    [root@insights]# insights-client --compliance-policies
    Copy to Clipboard Toggle word wrap

此命令显示系统支持的合规策略列表。输出显示了策略的 ID标题,以及策略是否已分配(显示值 TRUEFALSE 表示策略是否已分配给系统)。

Information about two policies not assigned to a system

其它资源

有关 insights-client --compliance 选项的更多信息,请参阅 Red Hat Insights 的客户端配置指南

您可以使用 insights-client --compliance-assign 命令为 SCAP 策略分配(添加)系统。

此命令选项允许您创建自定义自动化,以便使用您的系统,以及这些系统可用的 SCAP 策略。

先决条件

  • Insights 客户端安装在系统上。
  • 登录到具有 root 权限的系统。
  • 您已运行 insights-client --compliance-policies 命令。

流程

  1. 在命令行中输入 

    [root@insights]# insights-client --compliance-assign <ID>.
    Copy to Clipboard Toggle word wrap
注意

使用 insights-client --compliance-policies 命令的输出中的策略 ID。

验证步骤

  1. 导航到 Security > Compliance > SCAP policies
  2. 点您要将系统分配给的策略的名称。
  3. Systems 选项卡。系统被列为策略。

您还可以运行 insights-client --compliance-policies 命令来查看策略是否将 Assigned 值设置为 True

有关 insights-client --compliance 选项的更多信息,请参阅 Red Hat Insights 的客户端配置指南

您可以使用 insights-client --compliance-unassign 命令从 SCAP 策略取消分配(删除)系统。另外,您可以使用 命令为系统和 SCAP 策略创建自己的自定义自动化。

前提条件

  • Insights 客户端安装在系统上。
  • 登录到具有 root 权限的系统。
  • 您已运行 insights-client --compliance-policies 命令。

流程

  • 在命令行中输入 

    [root@insights]# insights-client --compliance-unassign <ID>
    Copy to Clipboard Toggle word wrap
注意

使用 insights-client --compliance-policies 命令的输出中的策略 ID。

验证步骤

  1. 导航到 Security > Compliance > SCAP policies
  2. 点您要将系统分配给的策略的名称。
  3. Systems 选项卡。系统不再被列出。

要找出策略的 Assigned 值设置为 False,请再次运行 insights-client --compliance-policies 命令。

其它资源

有关 insights-client --compliance 选项的更多信息,请参阅 Red Hat Insights 的客户端配置指南

3.6. 查看策略规则
复制链接

Insights Compliance 在分类的组中显示规则,以便类似的规则被一起关闭。您可以查看根据类别或分类进行分组的规则,以了解将针对策略进行的合规性检查。嵌套组结构(或树视图)是默认视图。树形视图提供了额外的上下文信息,允许您查看规则类别,并同时查看策略的多个规则。tree 视图还允许您查看具有可编辑值的规则(有关可编辑规则值的更多信息,请参阅"编辑策略规则值")。

您可以查看树视图中的规则或经典视图。在典型的视图中,规则会出现在线性列表中。

highlight view options

您可以通过切换 View policy rules 下的两个按钮,从树形视图切换到经典视图。

要查看树形视图格式中列出的规则,请点击树形视图图标( tree view )。

在树形视图中突出显示树视图并列出规则
View larger image
在树形视图中突出显示树视图并列出规则

要查看典型的视图格式中列出的规则,请点击典型的视图图标( classic view )。

突出显示经典视图,并在典型的视图中列出规则
View larger image
突出显示经典视图,并在典型的视图中列出规则
注意
  • 当您使用过滤器功能搜索特定规则时,视图会自动切换到典型的视图。
  • 在扩展规则以显示其他信息后,它将保留在展开视图中,即使您切换到不同的视图。

您可以在以下情况下切换视图:

第 4 章 分析并制作您的合规性报告
复制链接

合规性服务向服务显示注册的每个策略和系统的数据(及报告数据)。这可能是许多数据,其中大多数可能与您的即时目标无关。

以下小节讨论了优化合规服务数据(报告、SCAP 策略和系统)的方法,以专注于与您最重要的系统或策略。

合规服务允许用户设置系统、规则和策略列表的过滤器。与其他 Insights for Red Hat Enterprise Linux 服务一样,合规服务还支持按 system-group 标签进行过滤。但是,由于 compliance-register 的系统使用不同的报告机制,因此标签过滤器必须在合规 UI 视图中的系统列表中直接设置,而不是从全局列表中,Insights 应用程序其他位置使用的 Filter by status 下拉菜单。

重要

要查看您的系统的准确数据,请在 UI 中查看结果前,始终在每个系统上运行 insights-client --compliance

4.1. 合规性报告
复制链接

Security > Compliance > Reports,使用以下主和次要过滤器来专注于一组特定的或缩小报告:

  • 策略名称.按名称搜索策略。
  • 策略类型。从合规性服务中为您的基础架构配置的策略类型中进行选择。
  • 操作系统。选择一个或多个 RHEL OS 主版本。
  • 系统符合合规性。显示已包含系统百分比(范围)合规的策略。

4.2. SCAP 策略
复制链接

Security > Compliance > SCAP policies 中,使用 Filter by name 搜索框根据名称找到特定的策略。然后,点击策略名称查看策略卡,其中包括以下信息:

  • 详情。查看合规阈值、业务目标、操作系统和 SSG 版本等详情。
  • 规则.根据 Name、Severity 和 Remediation 可用,查看并过滤策略的特定 SSG 版本中包含的规则。然后,根据规则名称、严重性或 Ansible Playbook 支持对结果进行排序。
  • 系统。按系统名称搜索以查找与策略关联的特定系统,然后单击系统名称以查看可能影响它的更多信息。

4.3. 系统
复制链接

Security > Compliance > Systems 上的默认功能是按系统名称搜索。

  • 标签。按系统组或标签名称搜索。
  • 名称。按系统名称搜索。
  • 策略。根据策略名称搜索,并查看该策略中包含的系统。
  • 操作系统。根据 RHEL OS 主版本搜索,只查看 RHEL 7 或 RHEL 8 系统。

4.4. 搜索
复制链接

合规服务中的搜索功能可在您要查看的页面上下文中工作。

  • SCAP 策略.按名称搜索特定策略。
  • 系统。根据系统名称、策略或 Red Hat Enterprise Linux 操作系统主版本搜索。
  • 规则列表(单系统)。规则列表搜索功能允许您按规则名称或标识符进行搜索。标识符直接显示在规则名称下。

第 5 章 系统标签和组
复制链接

Red Hat Insights for Red Hat Enterprise Linux 可让管理员使用组标签过滤清单中的系统组以及单个服务。组通过 Red Hat Enterprise Linux 的系统数据方法识别。Insights for Red Hat Enterprise Linux 支持根据那些运行 SAP 工作负载、Satellite 主机组、Microsoft SQL Server 工作负载以及系统管理员定义的自定义标签(具有 root 访问权限在系统中配置 Insights 客户端)过滤系统组。

注意

从 Spring 2022 开始,清单、公告、合规、漏洞、补丁和策略启用根据组和标签进行过滤。其他服务将遵循。

重要

与启用标记的其他服务不同,合规服务会在合规服务 UI 中的系统列表中设置标签。如需更多信息,请参阅 合规性服务中的以下 Group 和 tag 过滤器 部分。

使用 global, Filter 结果 框根据 SAP 工作负载、Satellite 主机组、MS SQL Server 工作负载或添加到 Insights 客户端配置文件的自定义标签进行过滤。

先决条件

对于 Red Hat Enterprise Linux,必须满足以下先决条件和条件,才能使用 Red Hat Insights 中的标记功能:

  • Red Hat Insights 客户端已安装并在每个系统中注册。
  • 您必须具有 root 权限或对应的权限,才能创建自定义标签或更改 /etc/insights-client/tags.yaml 文件。

5.1. 合规服务中的组和标签过滤器
复制链接

合规服务允许用户将标签和组过滤器应用到系统报告合规数据,但它们没有使用 Filter by status 下拉菜单来设置。与 Insights for Red Hat Enterprise Linux 应用程序中的大多数其他服务不同,合规服务仅在以下情况下显示系统的数据:

  • 系统与合规性服务安全策略相关联。
  • 系统使用 insights-client --compliance 命令报告与分析相关的合规性数据。

由于这些条件,合规-service 用户必须使用合规服务 UI 中系统列表的主要和次要过滤器来设置标签和组过滤器。

标签和组过滤合规服务中的上述系统列表

Highlights the primary tags filter and the secondary filter where you can choose which tags to filter

5.2. SAP 工作负载
复制链接

随着 Linux 成为 2025 年 SAP expectations 工作负载的必要操作系统,Red Hat Enterprise Linux 和 Red Hat Insights for Red Hat Enterprise Linux 正在努力使 Insights for Red Hat Enterprise Linux 成为 SAP 管理员选择的管理工具。

作为这一持续工作的一部分,Insights for Red Hat Enterprise Linux 会自动标记运行 SAP 工作负载的系统,以及 SAP ID (SID),而无需管理员所需的任何自定义。用户可以使用全局 Filter by tags 下拉菜单轻松地在 Insights for Red Hat Enterprise Linux 应用程序中过滤这些工作负载。

5.3. Satellite 主机组
复制链接

Satellite 主机组在 Satellite 中配置,并由 Insights for Red Hat Enterprise Linux 自动识别。

5.4. Microsoft SQL Server 工作负载
复制链接

使用全局 过滤器按标签 功能,Red Hat Insights for Red Hat Enterprise Linux 用户可以选择运行 Microsoft SQL Server 工作负载的一组系统。

2019 年 5 月,Red Hat Insights 团队为在 Red Hat Enterprise Linux (RHEL)上运行的 Microsoft SQL Server 引进了一组新的 Insights for Red Hat Enterprise Linux 建议。这些规则提醒管理员,管理员不符合 Microsoft 和 Red Hat 所记录的建议的操作系统级配置。

这些规则的一个限制是它们主要分析操作系统而不是数据库本身。Insights for Red Hat Enterprise Linux 和 RHEL 8.5 的最新版本引进了 Microsoft SQL 评估 API。SQL 评估 API 提供了用于评估 MS SQL Server 的数据库配置的机制,以了解最佳实践。API 附带了一个规则集,其中包含 Microsoft SQL Server 团队推荐的最佳实践规则。虽然此规则集通过新版本发布增强,但构建 API 旨在提供高度可定制且可扩展的解决方案,让用户能够调整默认规则并创建自己的规则。

PowerShell 支持 SQL 评估 API (可从 Microsoft 获得),Microsoft 开发了一个 PowerShell 脚本,该脚本可用于调用 API 并将其结果存储为 JSON 格式文件。在 RHEL 8.5 中,Insights 客户端现在上传这个 JSON 文件,并在 Insights for Red Hat Enterprise Linux UI 中以易于理解的格式显示结果。

有关 Insights for Red Hat Enterprise Linux 中的 SQL Server 评估的更多信息,请参阅通过 Red Hat Insights 提供 SQL Server 数据库最佳实践

5.4.1. 设置 SQL Server 评估
复制链接

要配置 Microsoft SQL 评估 API 以向 Red Hat Insights 提供信息,数据库管理员需要执行以下步骤:

流程

  1. 在您要评估的数据库中,使用 SQL Authentication 为 SQL Server 评估创建一个登录。以下 Transact-SQL 创建登录。将 <*PASSWORD*& gt; 替换为强密码: 

    USE [master]
GO
CREATE LOGIN [assessmentLogin] with PASSWORD= N'<*PASSWORD*>’
ALTER SERVER ROLE [sysadmin] ADD MEMBER [assessmentLogin]
GO
    Copy to Clipboard Toggle word wrap

  2. 按如下所示存储系统中登录的凭证,再次将 <*PASSWORD*> 替换为在第 1 步中使用的密码。 

    # echo "assessmentLogin" > /var/opt/mssql/secrets/assessment
# echo "<*PASSWORD*>" >> /var/opt/mssql/secrets/assessment
    Copy to Clipboard Toggle word wrap

  3. 通过确保只有 mssql 用户可以访问凭证来保护评估工具使用的凭证。 

    # chmod 0600 /var/opt/mssql/secrets/assessment
# chown mssql:mssql /var/opt/mssql/secrets/assessment
    Copy to Clipboard Toggle word wrap

  4. 从 microsoft-tools 存储库下载 PowerShell。当您安装 mssql-toolsmssqlodbc17 软件包作为 SQL Server 安装的一部分时,这与您配置的软件仓库相同。 

    # yum -y  install powershell
    Copy to Clipboard Toggle word wrap

  5. 为 PowerShell 安装 SQLServer 模块。此模块包括评估 API。 

    # su mssql -c "/usr/bin/pwsh -Command Install-Module SqlServer"
    Copy to Clipboard Toggle word wrap

  6. 从 Microsoft 示例 GitHub 存储库下载 run evaluation 脚本。确保它归 mssql 所有并由其执行。 

    # /bin/curl -LJ0 -o /opt/mssql/bin/runassessment.ps1 https://raw.githubusercontent.com/microsoft/sql-server-samples/master/samples/manage/sql-assessment-api/RHEL/runassessment.ps1
# chown mssql:mssql /opt/mssql/bin/runassessment.ps1
# chmod 0700 /opt/mssql/bin/runassessment.ps1
    Copy to Clipboard Toggle word wrap

  7. 创建用于存储 Red Hat Insights 使用的日志文件的目录。再次确保它归 mssql 所有并可执行。 

    # mkdir /var/opt/mssql/log/assessments/
# chown mssql:mssql /var/opt/mssql/log/assessments/
# chmod 0700 /var/opt/mssql/log/assessments/
    Copy to Clipboard Toggle word wrap

  8. 现在,您可以创建第一个评估,但请确保以用户 mssql 的身份执行,以便后续评估能够以 mssql 用户身份通过 cron 或 systemd 自动运行。 

    # su mssql -c "pwsh -File /opt/mssql/bin/runassessment.ps1"
    Copy to Clipboard Toggle word wrap

  9. Insights for Red Hat Enterprise Linux 会在下一次运行时自动包括评估,或者您可以通过运行这个命令来启动 Insights 客户端: 

    # insights-client
    Copy to Clipboard Toggle word wrap
5.4.1.1. 在计时器上设置 SQL 评估
复制链接

因为 SQL Server 评估可能需要 10 分钟或更长时间才能完成,所以您可能需要每天自动运行评估过程。如果要自动运行它们,Red Hat SQL Server 社区已创建了 systemd 服务和计时器文件,以用于评估工具。

流程

  1. 从红帽公共 SQL Server 社区下载以下文件,以说明 GitHub 网站

    • mssql-runassessment.service
    • mssql-runassessment.timer

  2. /etc/systemd/system/ 目录中同时安装这两个文件: 

    # cp mssql-runassessment.service /etc/systemd/system/
# cp mssql-runassessment.timer /etc/systemd/system/
# chmod 644 /etc/systemd/system/
    Copy to Clipboard Toggle word wrap

  3. 使用以下命令启用计时器: 

    # systemctl enable --now mssql-runassessment.timer
    Copy to Clipboard Toggle word wrap

5.5. 自定义系统标记
复制链接

通过对您的系统应用自定义分组和标记,您可以为各个系统添加上下文标记,根据 Insights 中的这些标签进行过滤,并更轻松地专注于相关系统。在大规模部署 Insights for Red Hat Enterprise Linux 时,这个功能尤其重要,在管理下有很多数百个或数千个系统。

除了在多个 Insights for Red Hat Enterprise Linux 服务中添加自定义标签外,您还可以添加预定义的标签。公告服务可以使用这些标签为您的可能需要更多关注的系统创建目标建议,例如那些需要更高级别安全性的系统。

注意

要创建自定义和预定义的标签,您必须具有 root 权限或对应的标签,才能添加或更改 /etc/insights-client/tags.yaml 文件。

5.5.1. 标签结构
复制链接

标签使用 namespace/key=value 对结构。

  • 命名空间。namespace 是 ingestion 点的名称,insights-client,且无法更改。tags.yaml 文件从命名空间中提取,在上传前由 Insights 客户端注入。
  • 密钥。密钥可以是用户选择的密钥,也可以是系统中的预定义密钥。您可以使用大写字母、字母、数字、符号和空格的组合。
  • 价值.定义您自己的描述性字符串值。您可以使用大写字母、字母、数字、符号和空格的组合。
注意

公告服务包括红帽支持的预定义标签。

5.5.2. 创建 tags.yaml 文件并添加自定义组
复制链接

使用 insights-client --group=<name-you-choose> 创建并为 /etc/insights-client/tags.yaml 添加标签,这会执行以下操作:

  • 创建 etc/insights-client/tags.yaml 文件
  • group= 键和 &lt ;name-you-choose&gt; 值添加到 tags.yaml
  • 将新存档从系统上传到 Insights for Red Hat Enterprise Linux 应用程序,以便新标签会立即与您最新结果可见

创建初始 标签后,编辑 /etc/insights-client/tags.yaml 文件根据需要添加额外的标签。

以下流程演示了如何创建 /etc/insights-client/tags.yaml 文件和初始组,然后验证 Insights for Red Hat Enterprise Linux 清单中是否存在该标签。

创建新组的步骤

  1. 以 root 用户身份运行以下命令,添加自定义组名称 after- group=

    [root@server ~]# insights-client --group=<name-you-choose>
    Copy to Clipboard Toggle word wrap

tags.yaml 格式示例

以下 tags.yaml 文件示例显示了为新组添加的文件格式和其他标签示例: 

# tags
---
group: eastern-sap
name: Jane Example
contact: jexample@corporate.com
Zone: eastern time zone
Location:
- gray_rack
- basement
Application: SAP
Copy to Clipboard Toggle word wrap

验证自定义组是否已创建的步骤

  1. 进入 Red Hat Insights > RHEL > Inventory,并在需要时登录。
  2. Filter results 下拉菜单。
  3. 滚动浏览列表,或使用搜索功能查找标签。
  4. 单击该标签以根据其过滤。
  5. 验证您的系统是否在公告系统列表上的结果中。

验证系统是否已标记的步骤

  1. 进入 Red Hat Insights > RHEL > Inventory,并在需要时登录。
  2. 激活 名称 过滤器并开始输入系统名称,直到您看到您的系统,然后选择它。
  3. 验证系统名称旁边,标签符号是黑色,并显示一个代表应用正确标签数的数字。

5.5.3. 编辑 tags.yaml 以添加或更改标签
复制链接

创建组过滤器后,根据需要编辑 /etc/insights-client/tags.yaml 的内容,以添加或修改标签。

流程

  1. 使用命令行,打开标签配置文件以进行编辑。

    [root@server ~]# vi /etc/insights-client/tags.yaml

  2. 编辑内容或根据需要添加额外的值。以下示例演示了如何在向系统添加多个标签时组织 tags.yaml

    # tags
---
group: eastern-sap
location: Boston
description:
- RHEL8
- SAP
key 4: value
    Copy to Clipboard Toggle word wrap
    注意

    根据需要添加任意数量的 key=value 对。使用大写字母、字母、数字、符号和空格的组合。

  3. 保存更改并关闭编辑器。

  4. (可选)为 Red Hat Enterprise Linux 生成到 Insights 的上传。 

    # insights-client
    Copy to Clipboard Toggle word wrap

Red Hat Insights 公告服务建议会平等地对待每个系统。但是,有些系统可能需要比其他系统更安全,或者需要不同的网络性能级别。除了添加自定义标签外,Red Hat Insights for Red Hat Enterprise Linux 还提供了预定义的标签,公告服务可用于为您的系统创建目标建议。

要选择并获取预定义的标签提供的扩展安全强化和增强的检测和补救功能,您需要配置标签。配置后,公告服务会根据定制的严重性级别提供建议,以及适用于您的系统的首选网络性能。

要配置标签,请使用 /etc/insights-client/tags.yaml 文件以类似的方式标记带有预定义标签的系统,您可以使用它来标记库存服务中的系统。预定义的标签使用用于创建自定义标签的同一 key=value 结构进行配置。下表中列出了红帽定义标签的详细信息。

Expand
表 5.1. 支持的预定义标签列表
备注

安全

normal (默认)/ strict

使用 正常的 (默认)值,公告服务将系统的风险配置集与从最新版本的 RHEL 以及经常使用模式的默认配置中获取的基准进行比较。这会保留专注于、可操作且低的数字。使用 严格的 值,公告服务将系统视为安全敏感,从而导致特定建议使用更严格的基准,即使在全新的 RHEL 安装中显示建议。

network_performance

null (默认)/ 延迟 / 吞吐量

首选网络性能(根据您的业务需求)会影响顾问服务建议对系统的建议的严重性。

注意

预定义的标签键名称被保留。如果您已使用关键 安全,其值与其中一个预定义的值不同,则不会在您的建议中看到更改。只有现有 key=value 与其中一个预定义的键相同时,才会看到对建议的更改。例如,如果您有一个 security: highkey=value,您的建议将不会改变,因为红帽定义的标签不会改变。如果您目前有一个 security: strictkey=value 对,您将会看到系统的建议变化。

其他资源

5.5.5. 配置预定义的标签
复制链接

您可以使用 Red Hat Insights for Red Hat Enterprise Linux 公告服务预定义的标签来调整系统的建议行为,以获取扩展的安全强化和增强检测和修复功能。您可以按照这个流程配置预定义的标签。

先决条件

  • 有到您的系统的根级别访问权限
  • 已安装 Insights 客户端
  • 您已在 Insights 客户端中注册了系统
  • 您已创建了 tags.yaml 文件。有关创建 tags.yaml 文件的详情,请参考 创建 tags.yaml 文件并添加自定义组

流程

  1. 使用命令行和您首选的编辑器,打开 /etc/insights-client/tags.yaml。(以下示例使用 Vim。) 

    [root@server ~]# vi /etc/insights-client/tags.yaml
    Copy to Clipboard Toggle word wrap

  2. 编辑 /etc/insights-client/tags.yaml 文件,为标签添加预定义的 key=value 对。本例演示了如何添加 security: strictnetwork_performance: latency 标签。 

    # cat /etc/insights-client/tags.yaml
group: redhat
location: Brisbane/Australia
description:
- RHEL8
- SAP
security: strict
network_performance: latency
    Copy to Clipboard Toggle word wrap
  3. 保存您的更改。
  4. 关闭编辑器。

  5. 可选: 运行 insights-client 命令生成到 Red Hat Insights for Red Hat Enterprise Linux 的上传,或等待下一个调度的 Red Hat Insights 上传。 

    [root@server ~]# insights-client
    Copy to Clipboard Toggle word wrap

确认预定义的标签在您的生产区中

在生成上传到 Red Hat Insights (或等待下一个调度的 Insights 上传)后,您可以通过访问 Red Hat Insights > RHEL > Inventory 来查找标签是否在生产环境中。查找您的系统并查找新创建的标签。您会看到一个显示的表:

  • Name
  • 标签源(例如 insights-client)。

下图显示了您在创建标签后在清单中看到的示例。

突出显示显示当前名称和值以及标签源的信息
View larger image
突出显示显示当前名称和值以及标签源的信息

应用预定义的标签后的建议示例

以下公告服务镜像显示了配置了 network_performance: latency 标签的系统。

显示一个具有更高总风险的推荐,它比较重要,另一个建议具有 Total Risk 为 Moderate (中度)
View larger image
显示一个具有更高总风险的推荐,它比较重要,另一个建议具有 Total Risk 为 Moderate (中度)

系统显示具有较高的 Total Risk 级别 Important 的建议。没有 network_performance: latency 标签的系统具有中等总风险。您可以决定系统优先级更高的总风险。

第 6 章 参考资料
复制链接

要了解更多有关合规服务的信息,请参阅以下资源:

对红帽文档提供反馈
复制链接

我们非常感谢并对我们文档的反馈进行优先排序。提供尽可能多的详细信息,以便快速解决您的请求。

先决条件

  • 已登陆到红帽客户门户网站。

流程

要提供反馈,请执行以下步骤:

  1. 点击以下链接: Create Issue
  2. Summary 文本框中描述问题或功能增强。
  3. Description 文本框中提供有关问题或请求的增强的详细信息。
  4. Reporter 文本框中键入您的名称。
  5. Create 按钮。

此操作会创建一个文档票据,并将其路由到适当的文档团队。感谢您花时间来提供反馈。

法律通告
复制链接

Copyright © 2025 Red Hat, Inc.
The text of and illustrations in this document are licensed by Red Hat under a Creative Commons Attribution–Share Alike 3.0 Unported license ("CC-BY-SA"). An explanation of CC-BY-SA is available at http://creativecommons.org/licenses/by-sa/3.0/. In accordance with CC-BY-SA, if you distribute this document or an adaptation of it, you must provide the URL for the original version.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, the Red Hat logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.
返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat