11.9. 安装后立即部署符合安全配置文件的系统

您可以在安装过程后立即使用 OpenSCAP 套件来部署符合安全配置文件（如 OSPP、PCI-DSS 和 HIPAA 配置文件）的 RHEL 系统，。使用此部署方法，您可以使用修复脚本（例如密码强度和分区的规则）应用之后无法应用的特定规则。

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集不兼容。因此，在安装与以下配置文件兼容的系统时，请不要选择 Server with GUI ：

表 11.1. 配置文件与 Server with GUI 不兼容
配置文件名称	配置文件 ID	原因	备注
CIS Red Hat Enterprise Linux 8 基准级别 2 - 服务器	`xccdf_org.ssgproject.content_profile_cis`	软件包 `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils` 和 `xorg-x11-server-Xwayland` 是 Server with GUI 软件包集的一部分，但该策略需要删除它们。
CIS Red Hat Enterprise Linux 8 基准级别 1 - 服务器	`xccdf_org.ssgproject.content_profile_cis_server_l1`	软件包 `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils` 和 `xorg-x11-server-Xwayland` 是 Server with GUI 软件包集的一部分，但该策略需要删除它们。
非联邦信息系统和组织中的非保密信息(NIST 800-171)	`xccdf_org.ssgproject.content_profile_cui`	`nfs-utils` 软件包是 Server with GUI 软件包集的一部分，但策略需要删除它。
常规目的操作系统的保护配置文件	`xccdf_org.ssgproject.content_profile_ospp`	`nfs-utils` 软件包是 Server with GUI 软件包集的一部分，但策略需要删除它。
DISA STIG for Red Hat Enterprise Linux 8	`xccdf_org.ssgproject.content_profile_stig`	软件包 `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils` 和 `xorg-x11-server-Xwayland` 是 Server with GUI 软件包集的一部分，但该策略需要删除它们。	要将 RHEL 系统安装为与 RHEL 8.4 及之后版本中的 DISA STIG 一致的 Server with GUI，您可以使用 DISA STIG with GUI 配置文件。

使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

警告

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集不兼容。如需了解更多详细信息，请参阅与 GUI 服务器不兼容的配置文件。

先决条件

流程

在 安装概述 窗口中点击 软件选择。此时会打开 软件选择窗口。
在 Base Environment 窗格中选择 服务器 环境。您只能选择一个基本环境。
点击 完成 应用设置并返回 安装概述 窗口。
由于 OSPP 有必须满足的严格的分区要求，所以为 /boot、/home、/var、/tmp、/var/log、/var/tmp 和 /var/log/audit 创建单独的分区。
点击 安全策略。此时会打开 Security Policy 窗口。
要在系统中启用安全策略，将Apply security policy 切换为 ON。
从配置集栏中选择 Protection Profile for General Purpose Operating Systems.
点 Select Profile 来确认选择。
确认在窗口底部显示 Changes that were done or need to be done。完成所有剩余的手动更改。
完成图形安装过程。
注意
图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用 /root/anaconda-ks.cfg 文件自动安装兼容 OSPP 的系统。

验证

要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描：

# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其他资源

使用此流程部署符合特定基线的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

流程

在您选择的编辑器中打开 /usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfg Kickstart 文件。
更新分区方案以符合您的配置要求。为了遵守 OSPP ，必须保留 /boot、/home、/var、/tmp、/var/log、/var/tmp 和 /var/log/audit 的独立分区，您只能更改分区的大小。
按照使用 Kickstart 执行自动安装中所述来开始 Kickstart 安装。

重要

对于 OSPP 的要求，无法检查 Kickstart 文件中的密码。

验证

要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描：

# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其他资源