3.5. Terminer les tâches post-installation

Cette section décrit comment effectuer les tâches suivantes après l'installation :

  • Enregistrement du système

    Note

    En fonction de vos besoins, il existe plusieurs méthodes pour enregistrer votre système. La plupart de ces méthodes sont exécutées dans le cadre des tâches de post-installation. Cependant, le Red Hat Content Delivery Network (CDN) enregistre votre système et attache les abonnements RHEL à before le processus d'installation. Pour plus d'informations, reportez-vous à la section Enregistrement et installation de RHEL à partir du CDN.

  • Sécuriser votre système

3.5.1. Enregistrer votre système à l'aide de la ligne de commande

Cette section contient des informations sur la manière d'enregistrer votre abonnement à Red Hat Enterprise Linux 9 à l'aide de la ligne de commande.

Note
  • Lors de l'attachement automatique d'un système, le service d'abonnement vérifie si le système est physique ou virtuel, ainsi que le nombre de sockets sur le système. Un système physique consomme généralement deux droits, tandis qu'un système virtuel n'en consomme qu'un seul. Un droit est consommé pour deux sockets sur un système.
  • Pour une expérience améliorée et simplifiée de l'enregistrement de vos hôtes auprès de Red Hat, utilisez la configuration d'hôte à distance (RHC). Le client RHC enregistre votre système auprès de Red Hat Insights et du Gestionnaire d'abonnements Red Hat, rendant votre système prêt pour la collecte de données Insights et permettant la résolution directe des problèmes à partir d'Insights pour Red Hat Enterprise Linux. Pour plus d'informations, voir Enregistrement RHC et résolution des problèmes à l'aide d'Insights.

Conditions préalables

  • Vous disposez d'un abonnement actif, sans évaluation, à Red Hat Enterprise Linux.
  • L'état de votre abonnement à Red Hat est vérifié.
  • Vous n'avez pas encore reçu d'abonnement à Red Hat Enterprise Linux 9.
  • Vous avez activé votre abonnement avant d'essayer de télécharger des droits à partir du portail client. Vous avez besoin d'un droit pour chaque instance que vous prévoyez d'utiliser. Le service clientèle de Red Hat est disponible si vous avez besoin d'aide pour activer votre abonnement.
  • Vous avez installé avec succès Red Hat Enterprise Linux 9 et vous vous êtes connecté au système en tant que root.

Procédure

  1. Ouvrez une fenêtre de terminal et enregistrez votre système Red Hat Enterprise Linux à l'aide de votre nom d'utilisateur et de votre mot de passe du portail client Red Hat : 

    # subscription-manager register --username [username] --password [password]

  2. Lorsque le système est enregistré avec succès, un message similaire à celui qui suit s'affiche : 

    # The system has been registered with ID: 123456abcdef
# The registered system name is: localhost.localdomain

  3. Définir le rôle du système, par exemple : 

    # subscription-manager syspurpose role --set="Red Hat Enterprise Linux Server"
    Note

    Les rôles disponibles dépendent des abonnements qui ont été achetés par l'organisation et de l'architecture du système Red Hat Enterprise Linux 9. Les rôles typiques sont les suivants : , , ou : Red Hat Enterprise Linux Server Red Hat Enterprise Linux Workstation Red Hat Enterprise Linux Compute Node pour voir les rôles disponibles, utilisez la commande : # subscription-manager syspurpose role --list

  4. Définir le niveau de service du système, par exemple : 

    # subscription-manager syspurpose service-level --set="Premium"
    Note

    Les niveaux de service disponibles sont liés aux abonnements achetés par l'organisation. Les niveaux de service typiques sont les suivants : Pour voir les niveaux de service disponibles, utilisez la commande : # subscription-manager syspurpose service-level --list

  5. Définir l'utilisation du système, par exemple : 

    # subscription-manager syspurpose usage --set="Production"
    Note

    Les utilisations disponibles dépendent également des abonnements souscrits par l'organisation. Les utilisations typiques sont les suivantes : production, reprise après sinistre et développement/test : Production, reprise après sinistre et développement/test. Pour voir les valeurs d'utilisation disponibles, utilisez la commande : # subscription-manager syspurpose usage --list

  6. Attacher le système à un droit qui correspond à l'architecture du système hôte : 

    # subscription-manager attach --auto

  7. Lorsqu'un abonnement est attaché avec succès, une sortie similaire à la suivante s'affiche : 

    Installed Product Current Status:
Product Name: Red Hat Enterprise Linux for x86_64
Status: Subscribed
    Note

    Une autre méthode pour enregistrer votre système Red Hat Enterprise Linux 9 consiste à vous connecter au système en tant qu'utilisateur root et à utiliser l'interface utilisateur graphique du Gestionnaire d'abonnement.

3.5.2. Enregistrement de votre système à l'aide de l'interface utilisateur du gestionnaire d'abonnements

Cette section contient des informations sur la manière d'enregistrer votre système Red Hat Enterprise Linux 9 à l'aide de l'interface utilisateur du Gestionnaire d'abonnements afin de recevoir des mises à jour et d'accéder aux dépôts de paquetages.

Conditions préalables

Procédure

  1. Connectez-vous à votre système.
  2. Dans la partie supérieure gauche de la fenêtre, cliquez sur Activities.
  3. Dans le menu des options, cliquez sur l'icône Show Applications.
  4. Cliquez sur l'icône Red Hat Subscription Manager ou entrez Red Hat Subscription Manager dans la recherche.

  5. Saisissez votre mot de passe administrateur dans la boîte de dialogue Authentication Required.

    Note

    L'authentification est nécessaire pour effectuer des tâches privilégiées sur le système.

  6. La fenêtre Subscriptions s'ouvre et affiche l'état actuel des abonnements, de l'objet du système et des produits installés. Les produits non enregistrés sont marqués d'un X rouge.
  7. Cliquez sur le bouton Enregistrer.
  8. La boîte de dialogue Register System s'ouvre. Saisissez vos identifiants Customer Portal et cliquez sur le bouton Register.

Le bouton Register de la fenêtre Subscriptions devient Unregister et les produits installés affichent un X vert. Vous pouvez résoudre un enregistrement infructueux à partir d'une fenêtre de terminal à l'aide de la commande subscription-manager status.

Ressources supplémentaires

3.5.3. Enregistrement de RHEL 9 à l'aide de l'interface graphique du programme d'installation

Suivez les étapes suivantes pour enregistrer une nouvelle installation de Red Hat Enterprise Linux 9 à l'aide de l'interface utilisateur graphique du programme d'installation de RHEL.

Conditions préalables

  • Vous disposez d'un compte utilisateur valide sur le portail client Red Hat. Consultez la page Créer un compte Red Hat.

    Si le compte d'utilisateur dispose des droits appropriés (ou si le compte fonctionne en mode d'accès simple au contenu), il peut s'inscrire en utilisant uniquement son nom d'utilisateur et son mot de passe, sans présenter de clé d'activation.

  • Vous disposez d'une clé d'activation et d'un identifiant d'organisation valides.

Procédure

  1. Authentifiez votre compte Red Hat à l'aide de l'option Account ou Activation Key.

  2. Sélectionnez le champ Set System Purpose et, dans le menu déroulant, sélectionnez les champs Role, SLA et Usage for the RHEL 9 installation.

    À ce stade, votre système Red Hat Enterprise Linux 9 a été enregistré avec succès.

3.5.4. Assistant d'inscription

L'Assistant d'enregistrement est conçu pour vous aider à choisir l'option d'enregistrement la plus adaptée à votre environnement Red Hat Enterprise Linux. Voir https://access.redhat.com/labs/registrationassistant/ pour plus d'informations.

3.5.5. Configuration de l'objet du système à l'aide de l'outil de ligne de commande du gestionnaire d'abonnements

L'objectif du système est une fonctionnalité facultative mais recommandée de l'installation de Red Hat Enterprise Linux. Vous pouvez utiliser System Purpose pour enregistrer l'utilisation prévue d'un système Red Hat Enterprise Linux 9 et vous assurer que le serveur de droits attache automatiquement l'abonnement le plus approprié à votre système. Si System Purpose n'a pas été configuré au cours du processus d'installation, vous pouvez utiliser l'outil de ligne de commande subscription-manager syspurpose après l'installation pour définir les attributs requis.

Conditions préalables

  • Vous avez installé et enregistré votre système Red Hat Enterprise Linux 9, mais l'Objectif du système n'est pas configuré.

  • Vous êtes connecté en tant qu'utilisateur de root.

    Note

    Si votre système est enregistré mais que ses abonnements ne répondent pas à l'objectif requis, vous pouvez exécuter la commande subscription-manager remove --all pour supprimer les abonnements attachés. Vous pouvez ensuite utiliser les outils de la ligne de commande subscription-manager syspurpose {role, usage, niveau de service} pour définir les attributs d'objectif requis, et enfin exécuter subscription-manager attach --auto pour ré-habiliter le système en tenant compte des attributs mis à jour.

Procédure

Suivez les étapes de cette procédure pour configurer l'objet du système après l'installation à l'aide de l'outil de ligne de commande subscription-manager syspurpose. Les valeurs sélectionnées sont utilisées par le serveur de droits pour attacher l'abonnement le plus approprié à votre système.

  1. Dans une fenêtre de terminal, exécutez la commande suivante pour définir le rôle prévu du système : 

    # subscription-manager syspurpose role --set "VALUE"

    Remplacez VALUE par le rôle que vous souhaitez attribuer :

    • Red Hat Enterprise Linux Server
    • Red Hat Enterprise Linux Workstation
    • Red Hat Enterprise Linux Compute Node

    Par exemple : 

    # subscription-manager syspurpose role --set "Red Hat Enterprise Linux Server"

    1. Facultatif : Avant de définir une valeur, consultez les rôles disponibles pris en charge par les abonnements de votre organisation : 

      # subscription-manager syspurpose role --list

    2. Facultatif : Exécutez la commande suivante pour désactiver le rôle : 

      # subscription-manager syspurpose role --unset

  2. Exécutez la commande suivante pour définir l'accord de niveau de service (SLA) prévu pour le système : 

    # subscription-manager syspurpose service-level --set "VALUE"

    Remplacez VALUE par l'ANS que vous souhaitez attribuer :

    • Premium
    • Standard
    • Self-Support

    Par exemple : 

    # subscription-manager syspurpose service-level --set "Standard"

    1. Facultatif : Avant de définir une valeur, consultez les niveaux de service disponibles pris en charge par les abonnements de votre organisation : 

      # subscription-manager syspurpose service-level --list

    2. En option, vous pouvez exécuter la commande suivante pour désactiver l'accord de niveau de service (SLA) : Exécutez la commande suivante pour désactiver l'ANS : 

      # subscription-manager syspurpose service-level --unset

  3. Exécutez la commande suivante pour définir l'utilisation prévue du système : 

    # subscription-manager syspurpose usage --set "VALUE"

    Remplacez VALUE par l'usage que vous souhaitez attribuer :

    • Production
    • Disaster Recovery
    • Development/Test

    Par exemple : 

    # subscription-manager syspurpose usage --set "Production"

    1. Facultatif : Avant de définir une valeur, consultez les usages disponibles pris en charge par les abonnements de votre organisation : 

      # subscription-manager syspurpose usage --list

    2. Facultatif : Exécutez la commande suivante pour annuler l'utilisation : 

      # subscription-manager syspurpose usage --unset

  4. Exécutez la commande suivante pour afficher les propriétés de l'objectif actuel du système : 

    # subscription-manager syspurpose --show

    1. Facultatif : Pour obtenir des informations syntaxiques plus détaillées, exécutez la commande suivante pour accéder à la page de manuel subscription-manager et naviguez jusqu'à SYSPURPOSE OPTIONS : 

      # man subscription-manager

Verification steps

  • Pour vérifier l'état de l'abonnement au système : 

    # subscription-manager status
+-------------------------------------------+
   System Status Details
+-------------------------------------------+
Overall Status: Current

System Purpose Status: Matched
  • Un statut global Current signifie que tous les produits installés sont couverts par le(s) abonnement(s) attaché(s) et que les droits d'accès à leurs référentiels de contenu ont été accordés.
  • Un statut de finalité du système Matched signifie que tous les attributs de finalité du système (rôle, utilisation, niveau de service) qui ont été définis sur le système sont satisfaits par le(s) abonnement(s) rattaché(s).
  • Lorsque les informations d'état ne sont pas idéales, des informations supplémentaires sont affichées pour aider l'administrateur du système à décider des corrections à apporter aux abonnements attachés pour couvrir les produits installés et l'utilisation prévue du système.

3.5.6. Sécuriser votre système

Effectuez les étapes suivantes relatives à la sécurité immédiatement après l'installation de Red Hat Enterprise Linux.

Conditions préalables

  • Vous avez terminé l'installation graphique.

Procédure

  1. Pour mettre à jour votre système, exécutez la commande suivante en tant que root : 

    # dnf update

  2. Même si le service de pare-feu, firewalld, est automatiquement activé lors de l'installation de Red Hat Enterprise Linux, il existe des scénarios où il peut être explicitement désactivé, par exemple dans une configuration Kickstart. Dans ce cas, il est recommandé de réactiver le pare-feu.

    Pour démarrer firewalld, exécutez les commandes suivantes en tant que root : 

    # systemctl start firewalld
# systemctl enable firewalld

  3. Pour améliorer la sécurité, désactivez les services dont vous n'avez pas besoin. Par exemple, si aucune imprimante n'est installée sur votre système, désactivez le service cups à l'aide de la commande suivante : 

    # systemctl mask cups

    Pour passer en revue les services actifs, exécutez la commande suivante : 

    $ systemctl list-units | grep service

3.5.7. Déployer des systèmes conformes à un profil de sécurité immédiatement après l'installation

Vous pouvez utiliser la suite OpenSCAP pour déployer des systèmes RHEL conformes à un profil de sécurité, tel que le profil OSPP, PCI-DSS et HIPAA, immédiatement après le processus d'installation. Grâce à cette méthode de déploiement, vous pouvez appliquer des règles spécifiques qui ne peuvent pas être appliquées ultérieurement à l'aide de scripts de remédiation, par exemple, une règle pour la force des mots de passe et le partitionnement.

3.5.7.1. Profils non compatibles avec le serveur avec interface graphique

Certains profils de sécurité fournis dans le cadre de SCAP Security Guide ne sont pas compatibles avec l'ensemble de paquets étendu inclus dans l'environnement de base Server with GUI. Par conséquent, ne sélectionnez pas Server with GUI lorsque vous installez des systèmes conformes à l'un des profils suivants :

Tableau 3.3. Profils non compatibles avec le serveur avec interface graphique

Nom du profilID du profilJustificationNotes

[PROJET] CIS Red Hat Enterprise Linux 9 Benchmark pour le niveau 2 - Serveur

xccdf_org.ssgproject.content_profile_cis

Les paquets xorg-x11-server-Xorg, xorg-x11-server-common, xorg-x11-server-utils, et xorg-x11-server-Xwayland font partie de l'ensemble de paquets Server with GUI, mais la politique exige leur suppression.

 

[PROJET] CIS Red Hat Enterprise Linux 9 Benchmark pour le niveau 1 - Serveur

xccdf_org.ssgproject.content_profile_cis_server_l1

Les paquets xorg-x11-server-Xorg, xorg-x11-server-common, xorg-x11-server-utils, et xorg-x11-server-Xwayland font partie de l'ensemble de paquets Server with GUI, mais la politique exige leur suppression.

 

[PROJET] STIG DISA pour Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig

Les paquets xorg-x11-server-Xorg, xorg-x11-server-common, xorg-x11-server-utils, et xorg-x11-server-Xwayland font partie de l'ensemble de paquets Server with GUI, mais la politique exige leur suppression.

Pour installer un système RHEL en tant que Server with GUI aligné sur DISA STIG, vous pouvez utiliser le profil DISA STIG with GUI BZ#1648162

3.5.7.2. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de l'installation graphique

Cette procédure permet de déployer un système RHEL conforme à une ligne de base spécifique. Cet exemple utilise le profil de protection pour le système d'exploitation général (OSPP).

Avertissement

Certains profils de sécurité fournis dans le cadre de SCAP Security Guide ne sont pas compatibles avec l'ensemble de paquets étendu inclus dans l'environnement de base Server with GUI. Pour plus de détails, voir Profils non compatibles avec un serveur GUI.

Conditions préalables

  • Vous avez démarré le programme d'installation graphical. Notez que le site OSCAP Anaconda Add-on ne prend pas en charge l'installation interactive en mode texte.
  • Vous avez accédé à la fenêtre Installation Summary.

Procédure

  1. Dans la fenêtre Installation Summary, cliquez sur Software Selection. La fenêtre Software Selection s'ouvre.
  2. Dans le volet Base Environment, sélectionnez l'environnement Server. Vous ne pouvez sélectionner qu'un seul environnement de base.
  3. Cliquez sur Done pour appliquer le réglage et revenir à la fenêtre Installation Summary.
  4. L'OSPP ayant des exigences strictes en matière de partitionnement, créez des partitions distinctes pour /boot, /home, /var, /tmp, /var/log, /var/tmp, et /var/log/audit.
  5. Cliquez sur Security Policy. La fenêtre Security Policy s'ouvre.
  6. Pour activer les politiques de sécurité sur le système, basculez le commutateur Apply security policy sur ON.
  7. Sélectionnez Protection Profile for General Purpose Operating Systems dans le volet des profils.
  8. Cliquez sur Select Profile pour confirmer la sélection.
  9. Confirmez les modifications dans le volet Changes that were done or need to be done qui s'affiche en bas de la fenêtre. Effectuez les modifications manuelles restantes.

  10. Terminez la procédure d'installation graphique.

    Note

    Le programme d'installation graphique crée automatiquement un fichier Kickstart correspondant après une installation réussie. Vous pouvez utiliser le fichier /root/anaconda-ks.cfg pour installer automatiquement des systèmes compatibles OSPP.

Vérification

  • Pour vérifier l'état actuel du système une fois l'installation terminée, redémarrez le système et lancez une nouvelle analyse : 

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Ressources supplémentaires

3.5.7.3. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de Kickstart

Cette procédure permet de déployer des systèmes RHEL alignés sur une ligne de base spécifique. Cet exemple utilise le profil de protection pour le système d'exploitation général (OSPP).

Conditions préalables

  • Le paquetage scap-security-guide est installé sur votre système RHEL 9.

Procédure

  1. Ouvrez le fichier /usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg Kickstart dans un éditeur de votre choix.
  2. Mettez à jour le schéma de partitionnement pour qu'il corresponde aux exigences de votre configuration. Pour la conformité OSPP, les partitions séparées pour /boot, /home, /var, /tmp, /var/log, /var/tmp, et /var/log/audit doivent être préservées, et vous ne pouvez modifier que la taille des partitions.
  3. Lancez une installation Kickstart comme décrit dans la section Effectuer une installation automatisée à l'aide de Kickstart.
Important

Les mots de passe dans les fichiers Kickstart ne sont pas vérifiés pour les exigences de l'OSPP.

Vérification

  1. Pour vérifier l'état actuel du système une fois l'installation terminée, redémarrez le système et lancez une nouvelle analyse : 

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Ressources supplémentaires

3.5.8. Prochaines étapes

Une fois que vous avez terminé les étapes de post-installation requises, vous pouvez configurer les paramètres de base du système. Pour plus d'informations sur l'exécution de tâches telles que l'installation de logiciels avec dnf, l'utilisation de systemd pour la gestion des services, la gestion des utilisateurs, des groupes et des autorisations de fichiers, l'utilisation de chrony pour configurer NTP et l'utilisation de Python 3, consultez le document Configuring basic system settings document.