Menu Close

3.8. 安全性

SCAP 安全指南现在提供了一个与 CIS RHEL 7 Benchmark v2.2.0 一致的配置集。

在这个版本中,scap-security-guide 软件包提供了一个与 CIS Red Hat Enterprise Linux 7 Benchmark v2.2.0 一致的配置集。这个配置可让您使用互联网安全中心(CIS)提供的指南强化系统配置。因此,您可以使用 CIS Ansible Playbook 和 CIS SCAP 配置集配置并自动化 RHEL 7 系统与 CIS 的合规性。

请注意,CIS 配置集中的 rpm_verify_permissions 规则无法正常工作。请参阅已知问题描述 rpm_verify_permissions 在 CIS 配置集中失败

(BZ#1821633)

SCAP 安全指南 现在可以正确地禁用服务

在这个版本中,SCAP 安全指南( SSG)配置集可以正确地禁用和屏蔽不应该启动的服务。这可保证,禁用的服务不会意外地作为另一个服务的依赖项启动。在此更改前,SSG 配置集,如 U.S.Government Commercial Cloud Services(C2S)配置集会禁用服务。因此,除非您已取消了服务屏蔽,否则无法启动被 SSG 配置集禁用的服务。

(BZ#1791583)

RHEL 7 STIG 安全配置集更新到版本 V3R1

RHBA-2020:5451 公告中,SCAP 安全指南中的 DISA STIG for Red Hat Enterprise Linux 7 配置集更新至最新版本的 V3R1。在这个版本中,增加了更多的覆盖范围和修复的参考问题。现在,该配置集更为稳定,并与 Defense Information Systems Agency(DISA)提供的 RHEL7 STIG 基准一致。

因为旧版本的这个配置集已不再有效,所以您应该只使用这个配置集的当前版本。OVAL 检查了一些规则,使用 V3R1 版本进行扫描将失败,对于使用旧版 SCAP 安全指南强化的系统。您可以使用新版本的 SCAP 安全指南运行补救方法自动修复规则。

警告

自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。

以下规则已改变:

CCE-80224-9
此 SSHD 配置的默认值已从 延迟 改为 yes。现在,您必须根据建议提供一个值。检查规则描述来解决这个问题,或者运行补救来自动修复此问题。
CCE-80393-2
xccdf_org.ssgproject.content_rule_audit_rules_execution_chcon
CCE-80394-0
xccdf_org.ssgproject.content_rule_audit_rules_execution_restorecon
CCE-80391-6
xccdf_org.ssgproject.content_rule_audit_rules_execution_semanage
CCE-80660-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setfiles
CCE-80392-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setsebool
CCE-82362-5
xccdf_org.ssgproject.content_rule_audit_rules_execution_seunshare
CCE-80398-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chage
CCE-80404-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chsh
CCE-80410-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_crontab
CCE-80397-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_gpasswd
CCE-80403-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_newgrp
CCE-80411-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_pam_timestamp_check
CCE-27437-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands
CCE-80395-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_passwd
CCE-80406-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postdrop
CCE-80407-0
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postqueue
CCE-80408-8
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_ssh_keysign
CCE-80402-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudoedit
CCE-80401-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudo
CCE-80400-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_su
CCE-80405-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_umount
CCE-80396-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_unix_chkpwd
CCE-80399-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_userhelper

(BZ#1665233)

DISA STIG 版本 v3r3 的配置集

国防信息系统局(DISA)发布了适用于 RHEL 7 版本 3 的安全技术实施指南(STIG)更新版本 3。此更新包括在 RHBA-2021:2803 公告中:

  • 将现有 xccdf_org.ssgproject.content_profile_stig 配置集中的所有 规则与最新的 STIG 发行版本保持一致。
  • 为具有图形用户界面(GUI)的系统添加新配置集 xccdf_org.ssgproject.content_profile_stig_gui

(BZ#1958789,BZ#1970131)

scap-security-guide 现在提供 ANSSI-BP-028 高强化级别配置集

随着 RHBA-2021:2803 公告的发布scap-security-guide 软件包在高强化级别为 ANSSI-BP-028 提供更新配置集。这个新增功能提供了所有 ANSSI-BP-028 v1.2 强化级别的配置集可用性。使用更新的配置集,您可以配置系统,使其符合高强化级别上 GNU/Linux 系统的法国国家安全局(ANSSI)的建议。

因此,您可以使用 ANSSI Ansible Playbook 和 ANSSI SCAP 配置集根据所需的 ANSSI 强化级别配置和自动执行 RHEL 7 系统合规性。之前版本提供的 Draft ANSSI High 配置文件与 ANSSI DAT-NT-028 一致。虽然配置集名称和版本已经改变,但 ANSSI 配置集的 ID(如 xccdf_org.ssgproject.content_profile_anssi_nt28_high )的 ID 保持不变,以确保向后兼容性。

WARNING
自动补救可能会导致系统无法正常工作。红帽建议首先在测试环境中运行补救。

(BZ#1955180)