搜索

9.3. 将强化的系统升级到安全基线

download PDF

要在成功升级到 RHEL 8 后获得完全强化的系统,您可以使用 OpenSCAP 套件提供的自动化补救功能。OpenSCAP 修复使您的系统符合安全基线,如 PCI-DSS、OSPP 或 ACSC Essential Eight。由于安全产品的发展,配置合规性建议在 Red Hat Enterprise Linux 的主版本之间有所不同。

当升级一个强化的 RHEL 7 系统时,Leapp 工具 提供保持完整强化的直接方法。根据组件配置中的更改,该系统可能会在升级过程中偏离 RHEL 8 的建议。

注意

您不能使用同样的 SCAP 内容来扫描 RHEL 7 和 RHEL 8。如果系统的合规性是由像 Red Hat Satellite 或 Red Hat Insights 这样的工具管理的,则更新管理平台。

作为自动化修复的替代方法,您可以按照 OpenSCAP 生成的报告手动进行更改。有关生成合规性报告的详情,请参考 扫描系统以了解安全合规性和漏洞

根据流程自动强化带有 PCI-DSS 配置文件的系统。

重要

在默认配置中,自动化修复支持 RHEL 系统。因为安装后已更改了系统升级,因此运行修复可能无法使其完全遵从所需的安全配置文件。您可能需要手动修复一些要求。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统上。

流程

  1. 查找合适的安全合规数据流 .xml 文件:

    $ ls /usr/share/xml/scap/ssg/content/
    ssg-firefox-cpe-dictionary.xml  ssg-rhel6-ocil.xml
    ssg-firefox-cpe-oval.xml        ssg-rhel6-oval.xml
    ...
    ssg-rhel6-ds-1.2.xml          ssg-rhel8-oval.xml
    ssg-rhel8-ds.xml              ssg-rhel8-xccdf.xml
    ...

    如需更多信息,请参阅 查看合规性配置文件 章节。

  2. 根据从合适的数据流所选的配置文件来修复系统:

    # oscap xccdf eval --profile pci-dss --remediate /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

    您可以根据您要强化系统的配置文件的 ID 来替换 --profile 参数中的 pci-dss 值。有关 RHEL 8 中所支持的配置文件的完整列表,请参阅 RHEL 中所支持的 SCAP 安全配置文件

    警告

    如果没有谨慎使用,在启用 Remediate 选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由强化安全的修复所做的更改。在 RHEL 系统上的默认配置中支持修复。如果在安装后更改了您的系统,运行修复可能无法使其遵守所需的安全配置文件。

  3. 重启您的系统:

    # reboot

验证

  1. 验证系统是否遵从配置文件,并将结果保存到 HTML 文件中:

    $ oscap xccdf eval --report pcidss_report.html --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.