搜索

6.9. 安装后立即部署符合安全配置集的系统

download PDF

您可以在安装过程后立即使用 OpenSCAP 套件部署符合安全配置集的 RHEL 系统,如 OSPP、PCI-DSS 和 HIPAA 配置集。使用此部署方法时,您可以使用修复脚本(例如密码强度和分区的规则)应用之后无法应用的特定规则。

6.9.1. 配置文件与 Server with GUI 不兼容

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。因此,在安装与以下配置文件兼容的系统时,不要选择 Server with GUI

表 6.1. 配置文件与 Server with GUI 不兼容
配置文件名称配置文件 ID原因备注

CIS Red Hat Enterprise Linux 8 基准第 2 级 - 服务器

xccdf_org.ssgproject.content_profile_cis

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集合的一部分,但策略需要删除它们。

 

CIS Red Hat Enterprise Linux 8 基准第 1 级 - 服务器

xccdf_org.ssgproject.content_profile_cis_server_l1

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集合的一部分,但策略需要删除它们。

 

非联邦信息系统和组织中的非保密信息(NIST 800-171)

xccdf_org.ssgproject.content_profile_cui

nfs-utils 软件包是 Server with GUI 软件包集合的一部分,但策略需要删除该软件包。

 

常规目的操作系统的保护配置文件

xccdf_org.ssgproject.content_profile_ospp

nfs-utils 软件包是 Server with GUI 软件包集合的一部分,但策略需要删除该软件包。

 

Red Hat Enterprise Linux 8 的 DISA STIG

xccdf_org.ssgproject.content_profile_stig

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集合的一部分,但策略需要删除它们。

要将 RHEL 系统安装为与 RHEL 8.4 及之后的版本中的 DISA STIG 一致的 Server with GUI,您可以使用 DISA STIG with GUI 配置文件。

6.9.2. 使用图形安装部署基本兼容 RHEL 系统

使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

警告

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。如需了解更多详细信息,请参阅 与 GUI 服务器不兼容的配置文件

先决条件

  • 您已引导到 图形化 安装程序。请注意,OSCAP Anaconda Add-on 不支持交互式文本安装。
  • 您已访问 安装概述 窗口。

流程

  1. 安装概述 窗口中点击 软件选择。此时会打开 软件选择窗口。
  2. Base Environment 窗格中选择 服务器 环境。您只能选择一个基本环境。
  3. 点击 完成 应用设置并返回 安装概述 窗口。
  4. 由于 OSPP 有必须满足的严格的分区要求,所以为 /boot/home/var/tmp/var/log/var/tmp/var/log/audit 创建单独的分区。
  5. 点击 安全策略。此时会打开 Security Policy 窗口。
  6. 要在系统中启用安全策略,将Apply security policy 切换为 ON
  7. 从配置集栏中选择 Protection Profile for General Purpose Operating Systems.
  8. Select Profile 来确认选择。
  9. 确认在窗口底部显示 Changes that were done or need to be done。完成所有剩余的手动更改。
  10. 完成图形安装过程。

    注意

    图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用 /root/anaconda-ks.cfg 文件自动安装兼容 OSPP 的系统。

验证

  • 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源

6.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统

您可以部署与特定基准一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

  • scap-security-guide 软件包已安装在 RHEL 8 系统上。

流程

  1. 在您选择的编辑器中打开 /usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfg Kickstart 文件。
  2. 更新分区方案以符合您的配置要求。对于 OSPP 合规性,必须保留 /boot/home/var/tmp/var/log/var/tmp/var/log/audit 的独立分区,您只能更改分区的大小。
  3. 按照 使用 Kickstart 执行自动安装 中所述来开始 Kickstart 安装。
重要

对于 OSPP 的要求,不检查 Kickstart 文件中的密码。

验证

  • 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.