8.3. 보안 기준으로 강화된 시스템 업그레이드
RHEL 9로 업그레이드한 후 완전히 강화된 시스템을 얻으려면 OpenSCAP 제품군에서 제공하는 자동 수정을 사용할 수 있습니다. OpenSCAP 수정을 통해 PCI-DSS, OSPP 또는 ACSC Eight와 같은 보안 기준선에 맞게 시스템을 조정합니다. 보안 제품의 발전으로 인해 구성 컴플라이언스 권장 사항은 RHEL의 주요 버전과 다릅니다.
강화된 RHEL 8 시스템을 업그레이드할 때 Leapp 툴은 전체 강화를 유지할 수 있는 직접적인 수단을 제공하지 않습니다. 구성 요소 구성 요소의 변경 사항에 따라 시스템은 업그레이드 중 RHEL 9 권장 사항과 다를 수 있습니다.
RHEL 8 및 RHEL 9을 스캔하는 데 동일한 SCAP 콘텐츠를 사용할 수 없습니다. Red Hat Satellite 또는 Red Hat Insights와 같은 툴에서 시스템 규정 준수를 관리하는 경우 관리 플랫폼을 업데이트합니다.
자동화된 수정 대신 OpenSCAP 생성 보고서를 따라 수동으로 변경할 수 있습니다. 규정 준수 보고서를 생성하는 방법에 대한 자세한 내용은 보안 규정 준수 및 취약점에 대해 시스템 검사를 참조하십시오.
자동 수정은 기본 구성에서 RHEL 시스템을 지원합니다. 업그레이드 후 시스템 구성이 변경되었으므로 자동 수정을 실행하면 시스템이 필요한 보안 프로필을 완전히 준수하지 않을 수 있습니다. 일부 요구 사항을 수동으로 수정해야 할 수도 있습니다.
다음 예제 절차에서는 PCI-DSS 프로필에 따라 시스템 설정을 강화합니다.
사전 요구 사항
-
scap-security-guide패키지는 RHEL 9 시스템에 설치됩니다.
절차
적절한 보안 컴플라이언스 데이터 스트림
.xml파일을 찾습니다.$ ls /usr/share/xml/scap/ssg/content/ ... ssg-rhel9-ds.xml ...자세한 내용은 규정 준수 프로필 보기 섹션을 참조하십시오.
적절한 데이터 스트림에서 선택한 프로필에 따라 시스템을 교정합니다.
# oscap xccdf eval --profile pci-dss --remediate /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml--profile인수의pci-dss값을 시스템을 강화하려는 프로파일 ID로 교체할 수 있습니다. RHEL 9에서 지원되는 전체 프로필 목록은 RHEL에서 지원되는 SCAP 보안 프로필을 참조하십시오.주의신중하게 사용하지 않으면
--remediate옵션을 사용하여 시스템 평가를 실행하면 시스템이 작동하지 않을 수 있습니다. Red Hat은 보안 강화 수정으로 인한 변경 사항을 되돌릴 수 있는 자동화된 방법을 제공하지 않습니다. 수정은 기본 구성의 RHEL 시스템에서 지원됩니다. 설치 후 시스템이 변경된 경우 수정을 실행하여 필요한 보안 프로필을 준수하지 못할 수 있습니다.시스템을 다시 시작하십시오.
# reboot
검증
시스템이 프로필과 호환되는지 확인하고 결과를 HTML 파일에 저장합니다.
$ oscap xccdf eval --report pcidss_report.html --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
추가 리소스
-
scap-security-guide(8)및oscap(8)도움말 페이지 - 보안 규정 준수 및 취약점에 대한 시스템 스캔
- Red Hat Insights Security Policy
- Red Hat Satellite 보안 정책
