3.9. 安全性

SCAP 安全指南现在提供了一个与 CIS RHEL 7 Benchmark v2.2.0 一致的配置集。

有了这个更新,scap-security-guide 软件包提供了一个与 CIS Red Hat Enterprise Linux 7 Benchmark v2.2.0 一致的配置文件。这个配置可让您使用互联网安全中心(CIS)提供的指南强化系统配置。因此,您可以使用 CIS Ansible Playbook 和 CIS SCAP 配置集配置并自动化 RHEL 7 系统与 CIS 的合规性。

请注意,CIS 配置集中的 rpm_verify_permissions 规则无法正常工作。请参阅已知问题描述 rpm_verify_permissions 在 CIS 配置集中失败

(BZ#1821633)

SCAP 安全指南 现在正确地禁用了服务

有了这个更新,SCAP 安全指南( SSG)配置文件正确地禁用和屏蔽了不应该启动的服务。这可保证,禁用的服务不会意外地作为另一个服务的依赖项启动。在此更改前,SSG 配置集,如 U.S.Government Commercial Cloud Services(C2S)配置集会禁用服务。因此,除非您已取消了服务屏蔽,否则无法启动被 SSG 配置集禁用的服务。

(BZ#1791583)

RHEL 7 STIG 安全配置集更新到版本 V3R1

有了 RHBA-2020:5451 公告,SCAP 安全指南中的 DISA STIG for Red Hat Enterprise Linux 7 配置文件已被更新到最新版本 V3R1。在这个版本中,增加了更多的覆盖范围和修复的参考问题。现在,该配置集更为稳定,并与 Defense Information Systems Agency(DISA)提供的 RHEL7 STIG 基准一致。

因为旧版本的这个配置集已不再有效,所以您应该只使用这个配置集的当前版本。OVAL 对一些规则的检查已经更改,对于使用旧版 SCAP 安全指南强化的系统,使用 V3R1 版本的扫描将失败。您可以使用新版本的 SCAP 安全指南运行补救方法自动修复规则。

警告

自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。

以下规则已改变:

CCE-80224-9
此 SSHD 配置的默认值已从 delayed 改为 yes。现在,您必须根据建议提供一个值。检查规则描述来解决这个问题,或者运行补救来自动修复此问题。
CCE-80393-2
xccdf_org.ssgproject.content_rule_audit_rules_execution_chcon
CCE-80394-0
xccdf_org.ssgproject.content_rule_audit_rules_execution_restorecon
CCE-80391-6
xccdf_org.ssgproject.content_rule_audit_rules_execution_semanage
CCE-80660-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setfiles
CCE-80392-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setsebool
CCE-82362-5
xccdf_org.ssgproject.content_rule_audit_rules_execution_seunshare
CCE-80398-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chage
CCE-80404-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chsh
CCE-80410-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_crontab
CCE-80397-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_gpasswd
CCE-80403-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_newgrp
CCE-80411-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_pam_timestamp_check
CCE-27437-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands
CCE-80395-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_passwd
CCE-80406-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postdrop
CCE-80407-0
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postqueue
CCE-80408-8
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_ssh_keysign
CCE-80402-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudoedit
CCE-80401-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudo
CCE-80400-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_su
CCE-80405-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_umount
CCE-80396-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_unix_chkpwd
CCE-80399-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_userhelper

(BZ#1665233)

DISA STIG 版本 v3r3 的配置文件

国防信息系统局(DISA)发布了适用于 RHEL 7 版本 3 的安全技术实施指南(STIG)更新版本 3。此更新与 RHBA-2021:2803 公告一起提供:

  • 将现有 xccdf_org.ssgproject.content_profile_stig 配置文件中的所有规则与最新的 STIG 发行版本保持一致。
  • 为带有图形用户界面(GUI)的系统添加一个新配置文件 xccdf_org.ssgproject.content_profile_stig_gui

(BZ#1958789,BZ#1970131)

scap-security-guide 现在提供一个 ANSSI-BP-028 高强化级别配置文件

随着 RHBA-2021:2803 公告的发布,scap-security-guide 软件包为 ANSSI-BP-028 提供了一个高强化级别的更新配置文件。这个添加完成了所有 ANSSI-BP-028 v1.2 强化级别的配置文件的可用性。使用更新的配置文件,您可以将系统配置为遵守高强化级别 GNU/Linux 系统的法国国家安全局(ANSSI)的建议。

因此,您可以通过使用 ANSSI Ansible Playbook 和 ANSSI SCAP 配置文件来根据所需的 ANSSI 强化级别配置和自动执行 RHEL 7 系统的合规性。与之前版本一起提供的 Draft ANSSI High 配置文件已与 ANSSI DAT-NT-028 保持一致。虽然配置集名称和版本已经改变,但 ANSSI 配置文件的 ID(如 xccdf_org.ssgproject.content_profile_anssi_nt28_high )保持不变,以确保向后兼容。

WARNING
自动补救可能会导致系统无法正常工作。红帽建议首先在测试环境中运行补救。

(BZ#1955180)

RHEL 8 STIG 配置文件现在与 DISA STIG 内容更加一致

scap-security-guide (SSG)软件包提供的 Red Hat Enterprise Linux 7 配置文件的 DISA STIG (xccdf_org.ssgproject.content_profile_stig)可按照国防部信息系统(STIG)的安全技术实施指南(STIG)来评估系统。您可以使用 SSG 中的内容来修复您的系统,但您可能需要使用 DISA STIG 自动化内容来评估它们。随着 RHBA-2022:6576 公告的发布,DISA STIG RHEL 7 配置文件与 DISA 的内容更加一致。这会导致在 SSG 修复后对 DISA 内容的发现更少。

请注意,以下规则的评估仍然存在分歧:

  • SV-204511r603261_rule - CCE-80539-0 (auditd_audispd_disk_full_action)
  • SV-204597r792834_rule - CCE-27485-2 (file_permissions_sshd_private_key)

而且,来自 DISA 的 RHEL 7 STIG 的规则 SV-204405r603261_rule 不包含在 SSG RHEL 7 STIG 配置文件中。

(BZ#1967950)

为大型系统配置审计日志缓冲区的警告信息被添加到 SCAP 规则 audit_rules_for_ospp

SCAP 规则 xccdf_org.ssgproject.content_rule_audit_rules_for_ospp 现在会在大型系统上显示一条性能警告,在该系统上此规则配置的审计日志缓冲区可能太小,并可以覆盖自定义值。该警告还描述了配置更大的审计日志缓冲的流程。随着 RHBA-2022:6576 公告的发布,您可以保持大型系统合规,并正确设置其审计日志缓冲区。

(BZ#1993822)