搜索

6.9. 安装后立即部署符合安全配置文件的系统

download PDF

您可以在安装过程后立即使用 OpenSCAP 套件来部署符合安全配置文件(如 OSPP、PCI-DSS 和 HIPAA 配置文件)的 RHEL 系统,。使用此部署方法,您可以使用修复脚本(例如密码强度和分区的规则)应用之后无法应用的特定规则。

6.9.1. 配置文件与 Server with GUI 不兼容

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集不兼容。因此,在安装与以下配置文件兼容的系统时,请不要选择 Server with GUI

表 6.1. 配置文件与 Server with GUI 不兼容
配置文件名称配置文件 ID原因备注

[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 2 级 - 服务器)

xccdf_org.ssgproject.content_profile_cis

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集的一部分,但该策略需要删除它们。

 

[DRAFT] CIS Red Hat Enterprise Linux 9 基准(第 1 级 - 服务器)

xccdf_org.ssgproject.content_profile_cis_server_l1

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集的一部分,但该策略需要删除它们。

 

DISA STIG for Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig

软件包 xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utilsxorg-x11-server-XwaylandServer with GUI 软件包集的一部分,但该策略需要删除它们。

要将 RHEL 系统安装为 Server with GUI 以与 DISA STIG 一致,您可以使用 DISA STIG with GUI profile BZ#1648162

6.9.2. 使用图形安装部署基本兼容 RHEL 系统

使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

警告

作为 SCAP 安全指南 的一部分提供的某些安全配置文件与 Server with GUI 基本环境中包含的扩展软件包集不兼容。如需了解更多详细信息,请参阅 与 GUI 服务器不兼容的配置文件

前提条件

  • 您已引导到 图形 安装程序。请注意,OSCAP Anaconda Add-on 不支持交互式文本安装。
  • 您已访问 安装概述 窗口。

流程

  1. 安装概述 窗口中点击 软件选择。此时会打开 软件选择窗口。
  2. Base Environment 窗格中选择 服务器 环境。您只能选择一个基本环境。
  3. 点击 完成 应用设置并返回 安装概述 窗口。
  4. 由于 OSPP 有必须满足的严格的分区要求,所以为 /boot/home/var/tmp/var/log/var/tmp/var/log/audit 创建单独的分区。
  5. 点击 安全策略。此时会打开 Security Policy 窗口。
  6. 要在系统中启用安全策略,将Apply security policy 切换为 ON
  7. 从配置集栏中选择 Protection Profile for General Purpose Operating Systems.
  8. Select Profile 来确认选择。
  9. 确认在窗口底部显示 Changes that were done or need to be done。完成所有剩余的手动更改。
  10. 完成图形安装过程。

    注意

    图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用 /root/anaconda-ks.cfg 文件自动安装兼容 OSPP 的系统。

验证

  • 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

其他资源

6.9.3. 使用 Kickstart 部署符合基线的 RHEL 系统

您可以部署与特定基准一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

前提条件

  • scap-security-guide 软件包会在 RHEL 9 系统中安装。

流程

  1. 在您选择的编辑器中打开 /usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg Kickstart 文件。
  2. 更新分区方案以符合您的配置要求。为了实现 OSPP 合规性,必须保留 /boot/home/var/tmp/var/log/var/tmp/var/log/audit 的独立分区,您只能更改分区的大小。
  3. 按照 使用 Kickstart 执行自动安装 中所述来开始 Kickstart 安装。
重要

对于 OSPP 的要求,不检查 Kickstart 文件中的密码。

验证

  • 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.