Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

13.11. 安全策略

通过 Security Policy spoke,您可以按照安全内容自动化协议(SCAP)标准中定义的限制和建议(合规策略)配置安装的系统。此功能由附加组件提供,该附加组件自 Red Hat Enterprise Linux 7.2 起默认启用。启用后,会自动安装提供这个功能的软件包。但默认情况下不会强制任何策略。这代表,除非特别指定,在安装过程中或安装后不会执行任何检查。
红帽企业 Linux 7 安全指南 提供有关安全合规性的详细信息,包括背景信息、实际示例和其他资源。
重要
不需要在所有系统中应用安全策略。只有在您的机构规则或政府法规强制特定策略时,才应使用此屏幕。
如果您将安全策略应用到系统,将使用所选配置集中定义的限制和建议进行安装。openscap-scanner 软件包也会添加到您的软件包选择中,为合规和漏洞扫描提供预安装工具。安装完成后,系统将自动扫描以验证合规性。此扫描的结果将保存到已安装系统的 /root/openscap_data 目录中。
此屏幕中提供的预定义策略由 SCAP 安全指南 提供。如需了解有关每个可用配置集的详细信息,请参阅 OpenSCAP 门户
您还可以从 HTTP、HTTPS 或者 FTP 服务器载入附加配置集。

图 13.8. 安全策略选择屏幕

安全策略选择屏幕
要在系统上配置安全策略,首先通过将 Apply security policy 开关设置为 ON 来启用配置。如果交换机处于 OFF 位置,此屏幕其余部分中的控件无效。
使用交换机启用安全策略配置后,选择屏幕顶部窗口中列出的配置集之一,然后点击下面的 Select profile。选择配置文件后,右侧会显示绿色勾号,底部字段将显示在开始安装之前是否要进行任何更改。
注意
安装开始前,默认没有可用的配置集执行任何更改。但是,按照如下所述载入自定义配置集可能需要一些预安装操作。
要使用自定义配置集,请单击左上角的 Change content 按钮。这将打开另一个屏幕,您可以在其中输入有效安全内容的 URL。若要返回到默认安全内容选择屏幕,可单击左上角的"使用 SCAP 安全指南 "。
自定义配置集可以从 HTTP、HTTPS 或者 FTP 服务器加载。使用内容的完整地址,包括协议(如 http://)。网络连接必须处于活跃状态(在 第 13.13 节 “网络和主机名”中启用),然后才能载入自定义配置集。安装程序将自动检测到内容类型。
选择配置集后,或者要离开屏幕,点击左上角的 Done 返回到 第 13.7 节 “安装摘要屏幕”