Jump To Close Expand all Collapse all Table of contents Security hardening Rendre l'open source plus inclusif Fournir un retour d'information sur la documentation de Red Hat 1. Securing RHEL during installation Expand section "1. Securing RHEL during installation" Collapse section "1. Securing RHEL during installation" 1.1. BIOS and UEFI security Expand section "1.1. BIOS and UEFI security" Collapse section "1.1. BIOS and UEFI security" 1.1.1. BIOS passwords 1.1.2. Non-BIOS-based systems security 1.2. Disk partitioning 1.3. Restricting network connectivity during the installation process 1.4. Installing the minimum amount of packages required 1.5. Post-installation procedures 2. Installing the system in FIPS mode Expand section "2. Installing the system in FIPS mode" Collapse section "2. Installing the system in FIPS mode" 2.1. Federal Information Processing Standard (FIPS) 2.2. Installing the system with FIPS mode enabled 2.3. Ressources supplémentaires 3. Using system-wide cryptographic policies Expand section "3. Using system-wide cryptographic policies" Collapse section "3. Using system-wide cryptographic policies" 3.1. Politiques cryptographiques à l'échelle du système 3.2. Switching the system-wide cryptographic policy to mode compatible with earlier releases 3.3. Mise en place de politiques cryptographiques à l'échelle du système dans la console web 3.4. Switching the system to FIPS mode 3.5. Enabling FIPS mode in a container 3.6. List of RHEL applications using cryptography that is not compliant with FIPS 140-3 3.7. Excluding an application from following system-wide crypto policies Expand section "3.7. Excluding an application from following system-wide crypto policies" Collapse section "3.7. Excluding an application from following system-wide crypto policies" 3.7.1. Examples of opting out of system-wide crypto policies 3.8. Customizing system-wide cryptographic policies with subpolicies 3.9. Re-enabling SHA-1 3.10. Creating and setting a custom system-wide cryptographic policy 4. Définition d'une politique cryptographique personnalisée à l'aide du rôle de système RHEL crypto-policies Expand section "4. Définition d'une politique cryptographique personnalisée à l'aide du rôle de système RHEL crypto-policies " Collapse section "4. Définition d'une politique cryptographique personnalisée à l'aide du rôle de système RHEL crypto-policies " 4.1. crypto_policies Variables et faits relatifs au rôle du système 4.2. Définition d'une politique cryptographique personnalisée à l'aide du rôle de système crypto_policies 4.3. Ressources supplémentaires 5. Configuring applications to use cryptographic hardware through PKCS #11 Expand section "5. Configuring applications to use cryptographic hardware through PKCS #11" Collapse section "5. Configuring applications to use cryptographic hardware through PKCS #11" 5.1. Cryptographic hardware support through PKCS #11 5.2. Utilisation de clés SSH stockées sur une carte à puce 5.3. Configuring applications to authenticate using certificates from smart cards 5.4. Using HSMs protecting private keys in Apache 5.5. Using HSMs protecting private keys in Nginx 5.6. Ressources supplémentaires 6. Controlling access to smart cards using polkit Expand section "6. Controlling access to smart cards using polkit" Collapse section "6. Controlling access to smart cards using polkit" 6.1. Smart-card access control through polkit 6.2. Troubleshooting problems related to PC/SC and polkit 6.3. Displaying more detailed information about polkit authorization to PC/SC 6.4. Ressources supplémentaires 7. Scanning the system for configuration compliance and vulnerabilities Expand section "7. Scanning the system for configuration compliance and vulnerabilities" Collapse section "7. Scanning the system for configuration compliance and vulnerabilities" 7.1. Configuration compliance tools in RHEL 7.2. Analyse de la vulnérabilité Expand section "7.2. Analyse de la vulnérabilité" Collapse section "7.2. Analyse de la vulnérabilité" 7.2.1. Red Hat Security Advisories OVAL feed 7.2.2. Scanning the system for vulnerabilities 7.2.3. Scanning remote systems for vulnerabilities 7.3. Configuration compliance scanning Expand section "7.3. Configuration compliance scanning" Collapse section "7.3. Configuration compliance scanning" 7.3.1. Configuration compliance in RHEL 7.3.2. Possible results of an OpenSCAP scan 7.3.3. Viewing profiles for configuration compliance 7.3.4. Assessing configuration compliance with a specific baseline 7.4. Remediating the system to align with a specific baseline 7.5. Remediating the system to align with a specific baseline using an SSG Ansible playbook 7.6. Creating a remediation Ansible playbook to align the system with a specific baseline 7.7. Creating a remediation Bash script for a later application 7.8. Scanning the system with a customized profile using SCAP Workbench Expand section "7.8. Scanning the system with a customized profile using SCAP Workbench" Collapse section "7.8. Scanning the system with a customized profile using SCAP Workbench" 7.8.1. Using SCAP Workbench to scan and remediate the system 7.8.2. Customizing a security profile with SCAP Workbench 7.8.3. Ressources supplémentaires 7.9. Déployer des systèmes conformes à un profil de sécurité immédiatement après l'installation Expand section "7.9. Déployer des systèmes conformes à un profil de sécurité immédiatement après l'installation" Collapse section "7.9. Déployer des systèmes conformes à un profil de sécurité immédiatement après l'installation" 7.9.1. Profils non compatibles avec le serveur avec interface graphique 7.9.2. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de l'installation graphique 7.9.3. Déploiement de systèmes RHEL conformes aux normes de base à l'aide de Kickstart 7.10. Scanning container and container images for vulnerabilities 7.11. Assessing security compliance of a container or a container image with a specific baseline 7.12. SCAP Security Guide profiles supported in RHEL 9 7.13. Ressources supplémentaires 8. Ensuring system integrity with Keylime Expand section "8. Ensuring system integrity with Keylime" Collapse section "8. Ensuring system integrity with Keylime" 8.1. How Keylime works 8.2. Configuring Keylime verifier 8.3. Configuring Keylime registrar 8.4. Configuring Keylime tenant 8.5. Configuring Keylime agent 8.6. Deploying Keylime for runtime monitoring 8.7. Deploying Keylime for measured boot attestation 9. Checking integrity with AIDE Expand section "9. Checking integrity with AIDE" Collapse section "9. Checking integrity with AIDE" 9.1. Installing AIDE 9.2. Performing integrity checks with AIDE 9.3. Updating an AIDE database 9.4. File-integrity tools: AIDE and IMA 9.5. Ressources supplémentaires 10. Chiffrement des blocs de données à l'aide de LUKS Expand section "10. Chiffrement des blocs de données à l'aide de LUKS" Collapse section "10. Chiffrement des blocs de données à l'aide de LUKS" 10.1. Cryptage de disque LUKS 10.2. Versions de LUKS dans RHEL 10.3. Options de protection des données pendant le recryptage LUKS2 10.4. Chiffrement des données existantes sur un dispositif de blocage à l'aide de LUKS2 10.5. Chiffrement des données existantes sur un périphérique de bloc à l'aide de LUKS2 avec un en-tête détaché 10.6. Chiffrement d'un bloc vierge à l'aide de LUKS2 10.7. Création d'un volume chiffré LUKS2 à l'aide du rôle système storage RHEL 11. Configuring automated unlocking of encrypted volumes using policy-based decryption Expand section "11. Configuring automated unlocking of encrypted volumes using policy-based decryption" Collapse section "11. Configuring automated unlocking of encrypted volumes using policy-based decryption" 11.1. Network-bound disk encryption 11.2. Installing an encryption client - Clevis 11.3. Deploying a Tang server with SELinux in enforcing mode 11.4. Rotating Tang server keys and updating bindings on clients 11.5. Configuring automated unlocking using a Tang key in the web console 11.6. Basic NBDE and TPM2 encryption-client operations 11.7. Configuring manual enrollment of LUKS-encrypted volumes 11.8. Configuring manual enrollment of LUKS-encrypted volumes using a TPM 2.0 policy 11.9. Removing a Clevis pin from a LUKS-encrypted volume manually 11.10. Configuring automated enrollment of LUKS-encrypted volumes using Kickstart 11.11. Configuring automated unlocking of a LUKS-encrypted removable storage device 11.12. Deploying high-availability NBDE systems Expand section "11.12. Deploying high-availability NBDE systems" Collapse section "11.12. Deploying high-availability NBDE systems" 11.12.1. High-available NBDE using Shamir’s Secret Sharing Expand section "11.12.1. High-available NBDE using Shamir’s Secret Sharing" Collapse section "11.12.1. High-available NBDE using Shamir’s Secret Sharing" 11.12.1.1. Example 1: Redundancy with two Tang servers 11.12.1.2. Example 2: Shared secret on a Tang server and a TPM device 11.13. Deployment of virtual machines in a NBDE network 11.14. Building automatically-enrollable VM images for cloud environments using NBDE 11.15. Deploying Tang as a container 11.16. Introduction aux rôles des systèmes nbde_client et nbde_server (Clevis et Tang) 11.17. Utilisation du rôle de système nbde_server pour configurer plusieurs serveurs Tang 11.18. Utilisation du rôle de système nbde_client pour configurer plusieurs clients Clevis 12. Auditing the system Expand section "12. Auditing the system" Collapse section "12. Auditing the system" 12.1. Linux Audit 12.2. Audit system architecture 12.3. Configuring auditd for a secure environment 12.4. Starting and controlling auditd 12.5. Understanding Audit log files 12.6. Using auditctl for defining and executing Audit rules 12.7. Defining persistent Audit rules 12.8. Using pre-configured rules files 12.9. Using augenrules to define persistent rules 12.10. Disabling augenrules 12.11. Setting up Audit to monitor software updates 12.12. Monitoring user login times with Audit 12.13. Ressources supplémentaires 13. Blocking and allowing applications using fapolicyd Expand section "13. Blocking and allowing applications using fapolicyd" Collapse section "13. Blocking and allowing applications using fapolicyd" 13.1. Introduction to fapolicyd 13.2. Deploying fapolicyd 13.3. Marking files as trusted using an additional source of trust 13.4. Adding custom allow and deny rules for fapolicyd 13.5. Enabling fapolicyd integrity checks 13.6. Troubleshooting problems related to fapolicyd 13.7. Ressources supplémentaires 14. Protecting systems against intrusive USB devices Expand section "14. Protecting systems against intrusive USB devices" Collapse section "14. Protecting systems against intrusive USB devices" 14.1. USBGuard 14.2. Installing USBGuard 14.3. Blocking and authorizing a USB device using CLI 14.4. Permanently blocking and authorizing a USB device 14.5. Creating a custom policy for USB devices 14.6. Creating a structured custom policy for USB devices 14.7. Authorizing users and groups to use the USBGuard IPC interface 14.8. Logging USBguard authorization events to the Linux Audit log 14.9. Ressources supplémentaires 15. Configuring a remote logging solution Expand section "15. Configuring a remote logging solution" Collapse section "15. Configuring a remote logging solution" 15.1. The Rsyslog logging service 15.2. Installing Rsyslog documentation 15.3. Configuring a server for remote logging over TCP 15.4. Configuring remote logging to a server over TCP 15.5. Configuring TLS-encrypted remote logging 15.6. Configuring a server for receiving remote logging information over UDP 15.7. Configuring remote logging to a server over UDP 15.8. Load balancing helper in Rsyslog 15.9. Configuring reliable remote logging 15.10. Supported Rsyslog modules 15.11. Configuring the netconsole service to log kernel messages to a remote host 15.12. Ressources supplémentaires 16. Utilisation du rôle de système logging Expand section "16. Utilisation du rôle de système logging " Collapse section "16. Utilisation du rôle de système logging " 16.1. Le rôle du système logging 16.2. logging Paramètres du rôle du système 16.3. Application d'un rôle de système local logging 16.4. Filtrage des journaux dans un système local logging Rôle du système 16.5. Application d'une solution de journalisation à distance à l'aide du rôle de système logging 16.6. Utilisation du rôle de système logging avec TLS Expand section "16.6. Utilisation du rôle de système logging avec TLS" Collapse section "16.6. Utilisation du rôle de système logging avec TLS" 16.6.1. Configuration de la journalisation des clients avec TLS 16.6.2. Configuration de la journalisation du serveur avec TLS 16.7. Utilisation des rôles du système logging avec RELP Expand section "16.7. Utilisation des rôles du système logging avec RELP" Collapse section "16.7. Utilisation des rôles du système logging avec RELP" 16.7.1. Configuration de la journalisation des clients avec RELP 16.7.2. Configuration de la journalisation du serveur avec RELP 16.8. Ressources supplémentaires Note légale Settings Close Language: 日本語 简体中文 한국어 English Français Language: 日本語 简体中文 한국어 English Français Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 日本語 简体中文 한국어 English Français Language: 日本語 简体中文 한국어 English Français Format: Multi-page Single-page Format: Multi-page Single-page 14.9. Ressources supplémentaires usbguard(1), usbguard-rules.conf(5), usbguard-daemon(8), and usbguard-daemon.conf(5) man pages. USBGuard Homepage. Previous Next