3.5. 完成安装后的任务
在 AMD64、Intel 64 和 64 位 ARM 系统上安装 Red Hat Enterprise Linux 后,您必须注册并保护您的系统。
根据您的要求,您可以使用多种方法注册您的系统。大多数方法都是作为安装后任务的一部分完成的。但是,在安装过程开始前 ,注册的系统被授权可以通过 Red Hat Content Delivery Network (CDN)访问订阅产品的受保护的内容存储库。如需更多信息,请参阅 从 CDN 注册并安装 RHEL。
3.5.1. 将 RHEL 系统注册到红帽的值
注册在您的系统与红帽之间建立一个授权连接。红帽向注册的系统(无论是物理或虚拟机)发布一个标识和验证系统的证书,以便它能够接收来自红帽的保护的内容、软件更新、安全补丁、支持以及管理的服务。
通过有效的订阅,您可以使用以下方法注册 Red Hat Enterprise Linux (RHEL)系统:
- 在安装过程中,使用安装程序图形用户界面(GUI)或文本用户界面(TUI)
- 安装后,使用命令行界面(CLI)
- 在安装过程中或之后,使用 kickstart 脚本或激活码自动执行。
注册您的系统的具体步骤取决于您使用的 RHEL 版本,以及您选择的注册方法。
将您的系统注册到红帽可启用您用来管理系统和报告数据的特性和功能。例如,注册的系统被授权通过 Red Hat Content Delivery Network (CDN)或 Red Hat Satellite Server 访问订阅产品的受保护的内容存储库。这些内容存储库包括仅适用于具有有效订阅的客户的红帽软件包和更新。这些软件包和更新包括 RHEL 和其他红帽产品的安全补丁、错误修复和新功能。
基于权利的订阅模式已弃用,并将在以后的版本中停用。简单内容访问现在是默认的订阅模式。它提供了一个改进的订阅体验,可以在能够访问该系统上的红帽订阅内容时,消除将订阅附加到系统的需要。如果您的红帽账户使用基于权利的订阅模式,请联络您的红帽客户团队,例如:技术客户经理(TAM)或解决方案架构师(SA),以准备迁移到简单内容访问。如需更多信息,请参阅 将订阅服务转换到混合云。
3.5.2. 使用 Subscription Manager 用户界面注册您的系统
这部分包含有关如何使用 Subscription Manager 用户界面注册 Red Hat Enterprise Linux 9 系统以接收更新和访问软件包存储库的信息。
先决条件
- 您已按照 使用客户门户网站中的 ISO 镜像安装 RHEL 描述中所推荐的工作流完成了图形安装。
- 您有一个有效的、非试用的 Red Hat Enterprise Linux 订阅。
- 验证您的红帽订阅状态。
流程
- 登录到您的系统。
- 前往 Activities。
- 在菜单选项中点显示应用程序图标。
- 点 Red Hat Subscription Manager 图标,或使用 Red Hat Subscription Manager 进行搜索。
在 Authentication Required 对话框中输入管理员密码。
注意需要进行身份验证才能在系统上执行特权任务。
Subscriptions 窗口将打开,显示订阅、系统目的和已安装产品的当前状态。显示为红色 X 的安装的产品不被当前附加的订阅支持。
- 点 Register System 对话框。 。此时会打开
- 输入您的 客户门户网站凭证,并点 。
Subscriptions 窗口中的 Register 按钮会变为 Unregister,已安装的产品会显示绿色 X。您可以使用 subscription-manager status
命令从终端窗口验证注册是否成功。另外,请参阅 /var/log/rhsm/rhsm.log
文件。当在简单内容访问模式下操作 org/account
时,系统的整体合规性状态将被标记为 Disabled
。
其它资源
3.5.3. 使用安装程序 GUI 注册 RHEL 9
使用以下步骤,使用 RHEL 安装程序 GUI 注册 Red Hat Enterprise Linux 9。
先决条件
- 在红帽客户门户网站中有一个有效的用户帐户。请参阅 创建一个红帽登录页面。
- 您有一个有效的激活码和组织 ID。
流程
- 在 Software 下,在 Installation Summary 屏幕中点击 Connect to Red Hat。
- 使用 帐户或 激活密码 选项验证您的红帽帐户。
可选:在 Set System Purpose 字段中,选择您要从下拉菜单中设置的 Role、SLA 和 Usage 属性。
此时您的 Red Hat Enterprise Linux 9 系统已被成功注册。
3.5.4. Registration Assistant
Registration Assistant 可帮助为您的 Red Hat Enterprise Linux 环境选择最合适的注册选项。
其它资源
- 有关使用用户名和密码注册 RHEL 订阅管理器客户端的帮助,请参阅客户门户网站中的 RHEL 注册助手。
- 有关将 RHEL 系统注册到 Red Hat Insights 的帮助,请参阅混合云控制台上的 Insights 注册助手 。
3.5.5. 使用命令行注册您的系统
您可以从命令行注册 Red Hat Enterprise Linux 9 订阅。
有关将主机注册到红帽的改进和简化的体验,请使用远程主机配置(RHC)。RHC 客户端将您的系统注册到 Red Hat 使您的系统准备好进行 Insights 数据收集,并从 Insights 启用对 Red Hat Enterprise Linux 的直接问题修复。如需更多信息,请参阅 RHC 注册。
先决条件
- 您有一个有效的、非试用的 Red Hat Enterprise Linux 订阅。
- 验证您的红帽订阅状态。
- 您之前还没有收到 Red Hat Enterprise Linux 9 订阅。
- 您已成功安装 Red Hat Enterprise Linux 9 并以 root 身份登录系统。
步骤
- 以 root 用户身份打开终端窗口。
使用激活码注册 Red Hat Enterprise Linux 系统:
# subscription-manager register --activationkey=<activation_key_name> --org=<organization_ID>
当成功注册系统时,会显示类似如下的输出:
The system has been registered with id: 62edc0f8-855b-4184-b1b8-72a9dc793b96
3.5.6. 使用 subscription-manager 命令行工具配置系统目的
系统目的是 Red Hat Enterprise Linux 安装的一个功能,它可以帮助 RHEL 客户获得红帽混合云控制台中提供的订阅体验和服务的好处,该控制台是一个基于仪表盘的软件即服务(SaaS)应用程序,可让您在您的红帽帐户中查看订阅的使用情况。
您可以在激活码上或使用订阅管理器工具配置系统目的属性。虽然建议在激活码上配置系统目的,但您也可以在安装后使用 subscription-manager syspurpose
命令行工具来设置所需的属性来配置它。
先决条件
- 已安装并注册了 Red Hat Enterprise Linux 9 系统,但没有配置系统目的。
以
root
用户身份登录。注意在授权模式下,如果您的系统已注册,但有没有满足所需目的的订阅,您可以运行
subscription-manager remove --all
命令来删除附加的订阅。然后,您可以使用命令行 subscription-manager syspurpose {role, use, service-level} 工具来设置所需的目的属性,最后运行subscription-manager attach --auto
在考虑更新的属性的情况下重新赋予系统权限。在启用了 SCA 的帐户中,您可以在注册后直接更新系统目的详情,而无需对系统中的订阅进行更新。
流程
在终端窗口中运行以下命令设定系统预期的角色:
# subscription-manager syspurpose role --set "VALUE"
用您要分配的角色替换
VALUE
:-
Red Hat Enterprise Linux Server
-
Red Hat Enterprise Linux Workstation
-
Red Hat Enterprise Linux Compute 节点
例如:
# subscription-manager syspurpose role --set "Red Hat Enterprise Linux Server"
可选:在设置值前,请查看您机构的订阅所支持的可用角色:
# subscription-manager syspurpose role --list
可选: 运行以下命令以取消设置角色:
# subscription-manager syspurpose role --unset
-
运行以下命令来设定系统的预期服务水平协议(SLA):
# subscription-manager syspurpose service-level --set "VALUE"
使用您要分配的 SLA 替换
VALUE
:-
Premium(高级)
-
Standard(标准)
-
Self-Support(自助)
例如:
# subscription-manager syspurpose service-level --set "Standard"
可选:在设置值前,请查看您机构的订阅所支持的可用服务级别:
# subscription-manager syspurpose service-level --list
可选: 运行以下命令以取消设置 SLA:
# subscription-manager syspurpose service-level --unset
-
运行以下命令设定系统预定用法:
# subscription-manager syspurpose usage --set "VALUE"
使用您要分配的用途来替换
VALUE
:-
生产环境
-
灾难恢复
-
开发/测试
例如:
# subscription-manager syspurpose usage --set "Production"
可选:在设置值前,请查看您机构的订阅所支持的可用用法:
# subscription-manager syspurpose usage --list
可选: 运行以下命令以取消设置用法:
# subscription-manager syspurpose usage --unset
-
运行以下命令来显示当前系统目的属性:
# subscription-manager syspurpose --show
可选:要获得更详细的语法信息,请运行以下命令来访问
subscription-manager
手册页, 并浏览到 SYSPURPOSE OPTIONS:# man subscription-manager
验证步骤
要在使用启用了授权模式的帐户注册的系统中验证系统的订阅状态:
# subscription-manager status +-------------------------------------------+ System Status Details +-------------------------------------------+ Overall Status: Current System Purpose Status: Matched
-
整体状态
Current
表示附加的订阅和授权涵盖所有安装的产品,以访问其内容集的存储库。 -
系统用途状态
匹配
意味着附加的订阅满足系统上设置的所有系统用途属性(角色、使用量、服务水平)。 - 当状态信息不理想时,会显示附加信息来帮助系统管理员决定对附加订阅进行何种更正,以覆盖安装的产品和预期系统目的。
-
整体状态
要在使用启用了 SCA 模式的帐户注册的系统中验证系统的订阅状态:
# subscription-manager status +-------------------------------------------+ System Status Details +-------------------------------------------+ Overall Status: Disabled Content Access Mode is set to Simple Content Access. This host has access to content, regardless of subscription status. System Purpose Status: Disabled
- 在 SCA 模式下,订阅不再需要附加到各个系统。因此,总体状态和系统目的状态都显示为 Disabled。但是,系统目的属性提供的技术、业务和操作用例对于订阅服务非常重要。如果没有这些属性,订阅服务数据就不太准确。
其它资源
- 要了解有关订阅服务的更多信息,请参阅 订阅服务入门指南。
3.5.7. 保护您的系统
在安装 Red Hat Enterprise Linux 后立即完成以下与安全性相关的步骤。
先决条件
- 您已完成图形安装。
流程
要更新您的系统,请作为 root 运行以下命令:
# dnf update
即使在安装 Red Hat Enterprise Linux 时默认自动启用了防火墙服务(
firewalld
),但在一些情况下可能会明确禁用它,例如在 Kickstart 配置中。在那种情况下,建议您重新启用防火墙。要启动
firewalld
,请作为 root 运行以下命令:# systemctl start firewalld # systemctl enable firewalld
要提高安全性,禁用您不需要的服务。例如,如果您的系统没有安装打印机,使用以下命令禁用 cups 服务:
# systemctl mask cups
要查看活跃的服务,运行以下命令:
$ systemctl list-units | grep service
3.5.8. 安装后立即部署符合安全配置文件的系统
您可以在安装过程后立即使用 OpenSCAP 套件部署符合安全配置文件(如 OSPP、PCI-DSS 和 HIPAA 配置文件)的 RHEL 系统。使用此部署方法,您可以应用以后无法使用修复脚本应用的特定规则,例如,密码强度和分区规则。
3.5.8.1. 配置文件与 Server with GUI 不兼容
作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。因此,在安装与以下配置文件兼容的系统时,不要选择 Server with GUI :
配置文件名称 | 配置文件 ID | 原因 | 备注 |
---|---|---|---|
[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 2 级 - 服务器) |
|
软件包 | |
[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 1 级 - 服务器) |
|
软件包 | |
DISA STIG for Red Hat Enterprise Linux 9 |
|
软件包 | 要将 RHEL 系统安装为 Server with GUI 以与 DISA STIG 一致,您可以使用 DISA STIG with GUI profile BZ#1648162 |
3.5.8.2. 使用图形安装部署基本兼容 RHEL 系统
使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。
作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集合不兼容。如需了解更多详细信息,请参阅 与 GUI 服务器不兼容的配置文件。
先决条件
-
您已引导到
图形化
安装程序。请注意,OSCAP Anaconda Add-on 不支持交互式文本安装。 -
您已访问
安装概述
窗口。
流程
-
在
安装概述
窗口中点击软件选择
。此时会打开软件选择
窗口。 -
在
Base Environment
窗格中选择服务器
环境。您只能选择一个基本环境。 -
点击
完成
应用设置并返回安装概述
窗口。 -
因为 OSPP 有必需满足的严格的分区要求,所以必须为
/boot
、/home
、/var
、/tmp
、/var/log
、/var/tmp
和/var/log/audit
创建单独的分区。 -
点击
安全策略
。此时会打开Security Policy
窗口。 -
要在系统中启用安全策略,将
Apply security policy
切换为ON
。 -
从配置集栏中选择
Protection Profile for General Purpose Operating Systems
. -
点
Select Profile
来确认选择。 -
确认在窗口底部显示
Changes that were done or need to be done
。完成所有剩余的手动更改。 完成图形安装过程。
注意图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用
/root/anaconda-ks.cfg
文件自动安装兼容 OSPP 的系统。
验证
要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
其它资源
3.5.8.3. 使用 Kickstart 部署符合基准的 RHEL 系统
使用此流程部署符合特定基准的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。
先决条件
-
scap-security-guide
软件包会在 RHEL 9 系统中安装。
流程
-
在您选择的编辑器中打开
/usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg
Kickstart 文件。 -
更新分区方案以符合您的配置要求。对于 OSPP 合规性,必须保留
/boot
、/home
、/var
、/tmp
、/var/log
、/var/tmp
和/var/log/audit
的单独分区,您只能更改分区大小。 - 按照 使用 Kickstart 执行自动安装 中所述来开始 Kickstart 安装。
对于 OSPP 的要求,无法检查 Kickstart 文件中的密码。
验证
要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
其它资源
3.5.9. 后续步骤
当完成要求的安装后步骤后,可以配置基本的系统设置。有关完成诸如使用 dnf 安装软件、使用 systemd 进行服务管理、管理用户、组和文件权限、使用 chrony 配置 NTP 以及使用 Python 3 的任务的详情,请参阅 配置基本的系统设置 文档。