6.9. 安装后立即部署符合安全配置集的系统
您可以在安装过程后立即使用 OpenSCAP 套件部署符合安全配置集的 RHEL 系统,如 OSPP、PCI-DSS 和 HIPAA 配置集。使用此部署方法时,您可以使用修复脚本(例如密码强度和分区的规则)应用之后无法应用的特定规则。
6.9.1. 配置文件与 Server with GUI 不兼容
作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。因此,在安装与以下配置文件兼容的系统时,不要选择 Server with GUI :
配置文件名称 | 配置文件 ID | 原因 | 备注 |
---|---|---|---|
CIS Red Hat Enterprise Linux 8 基准第 2 级 - 服务器 |
|
软件包 | |
CIS Red Hat Enterprise Linux 8 基准第 1 级 - 服务器 |
|
软件包 | |
非联邦信息系统和组织中的非保密信息(NIST 800-171) |
|
| |
常规目的操作系统的保护配置文件 |
|
| |
Red Hat Enterprise Linux 8 的 DISA STIG |
|
软件包 | 要将 RHEL 系统安装为与 RHEL 8.4 及之后的版本中的 DISA STIG 一致的 Server with GUI,您可以使用 DISA STIG with GUI 配置文件。 |
6.9.2. 使用图形安装部署基本兼容 RHEL 系统
使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。
作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。如需了解更多详细信息,请参阅 与 GUI 服务器不兼容的配置文件。
先决条件
-
您已引导到
图形化
安装程序。请注意,OSCAP Anaconda Add-on 不支持交互式文本安装。 -
您已访问
安装概述
窗口。
流程
-
在
安装概述
窗口中点击软件选择
。此时会打开软件选择
窗口。 -
在
Base Environment
窗格中选择服务器
环境。您只能选择一个基本环境。 -
点击
完成
应用设置并返回安装概述
窗口。 -
由于 OSPP 有必须满足的严格的分区要求,所以为
/boot
、/home
、/var
、/tmp
、/var/log
、/var/tmp
和/var/log/audit
创建单独的分区。 -
点击
安全策略
。此时会打开Security Policy
窗口。 -
要在系统中启用安全策略,将
Apply security policy
切换为ON
。 -
从配置集栏中选择
Protection Profile for General Purpose Operating Systems
. -
点
Select Profile
来确认选择。 -
确认在窗口底部显示
Changes that were done or need to be done
。完成所有剩余的手动更改。 完成图形安装过程。
注意图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用
/root/anaconda-ks.cfg
文件自动安装兼容 OSPP 的系统。
验证
要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
其它资源
6.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统
您可以部署与特定基准一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。
先决条件
-
scap-security-guide
软件包已安装在 RHEL 8 系统上。
流程
-
在您选择的编辑器中打开
/usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfg
Kickstart 文件。 -
更新分区方案以符合您的配置要求。对于 OSPP 合规性,必须保留
/boot
、/home
、/var
、/tmp
、/var/log
、/var/tmp
和/var/log/audit
的独立分区,您只能更改分区的大小。 - 按照 使用 Kickstart 执行自动安装 中所述来开始 Kickstart 安装。
对于 OSPP 的要求,不检查 Kickstart 文件中的密码。
验证
要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml