2.3. 创建 USGCB 兼容的安装映像

Red Hat Enterprise Linux 6 里的 scap-security-guide 软件包包含专门的 Kickstart 文件,它可以用来安装遵循 United States Government Configuration Baseline (USGCB) 标准的系统。当政府法规要求与此标准合规时,这就很有用。
Kickstart 配置可以和 Red Hat Enterprise Linux 6 的服务器变体一起使用。此时,作为安装后期脚本的一部分,系统将由 OpenSCAP 自动配置为 USGCB 配置集兼容的系统。在安装完成后,您可以复查放入系统上 /root/ 目录里的报告。

注意

scap-security-guide 提供的 Kickstart 文件包含所有要求的命令,使得安装完全自动化。
请注意在安装过程中 Kickstart 文件需要访问互联网来下载最新的基准文件。
关于使用 OpenSCAP 进行合规型和漏洞扫描的更多信息,请参阅《Red Hat Enterprise Linux 6 安全指南》里的相关章节。
要获得 Kickstart 文件,请在现有的 Red Hat Enterprise Linux 6 系统上安装 scap-security-guide 软件包。安装了软件包后,您可以在 /usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg 里找到 Kickstart 文件。
获得这个文件后,将其复制到您的主目录并用文本编辑器进行编辑。请在文件里使用 第 32.4 节 “kickstart 选项” 和注释进行引用。其中一些注释提到 Common Configuration Enumeration (CCE) 标识符号码,您可以在 CCE Archive 里找到相关的信息。
Kickstart 文件里值得注意的一些可以修改的内容是:
  • 软件包资料库位置 - url 命令。要使用 HTTP 或 FTP 服务器上的软件包资料库,请用包含软件包资料库的服务器地址替换默认的 IP 地址。用 nfscdromharddrive 命令分别从 NFS 服务器、光驱或本地磁盘上进行安装。
  • 系统语言、键盘格式和时区 - langkeyboardtimezone 命令。
  • 根密码- rootpw 命令。在默认情况下,这个 Kickstart 里配置的根密码是 "server"。请确保生成新的校验和并修改台。
  • 引导加载器密码 - bootloader --password= 命名。默认的密码是 "password"。请确保生成新的校验和并修改台。
  • 网络配置 - network 命令。默认启用 DHCP - 如有需要则调节设置。
  • 软件包选择 - 修改文件的 %packages 部分来安装所需的软件包和组。

    重要

    您必须安装软件包 gitaideopenscap-utils。它们是 Kickstart 文件和 OpenSCAP 系统评估的 post 安装正常运行所要求的。
  • 磁盘分区格式 - partvolgrouplogvol 命令。
    USGCB 标准定义了对兼容系统的磁盘格式的具体要求,这意味着默认 Kickstart 文件里定义的逻辑卷 - /home/tmp/var/var/log/var/log/audit - 必须总是创建为单独的分区或逻辑卷。此外,Red Hat Enterprise Linux 要求您为 /swap 创建 /boot 物理分区和卷。这些都在默认 Kickstart 文件里进行定义,您可以添加额外的单独逻辑卷或分区,您也可以修改默认的大小。

    注意

    在默认情况下,/var/log/audit 卷只占用最多 512 MB 空间。由于被审计的调用的数量很多,我们强烈推荐将其增至至少 1024 MB。
Kickstart 文件的其他部分可以直接使用。在修改完文件后,请通过 第 32.8.1 节 “创建 kickstart 引导介质” 将其放入 ISO 映像并用来安装新的系统。