11.11. 安全策略

安全策略 说明可让您根据安全内容自动化协议(SCAP)标准规定的限制和建议(合规策略)配置已安装的系统。该功能由附加组件提供,并从 Red Hat Enterprise Linux 7.2 开始默认启用。启用后,会自动安装提供这个功能的软件包。但默认情况下不会强制任何策略,即除非特别指定,在安装过程中或安装后不会执行任何检查。
《Red Hat Enterprise Linux 7 安全指南》提供有关安全合规的详情,其中包括背景信息、实践示例及附加资源。

重要

不需要在所有系统中应用安全策略。只有机构规则或政府法规强制某种策略时,才应该使用页面。
如果在系统中应用安全策略,则会使用所选配置集中规定的限制和建议安装。还会在软件包选择中添加 openscap-scanner 软件包,以便为合规及漏洞扫描提供预安装工具。安装完成后,系统会自动扫描以确认合规。扫描结果会保存在已安装系统的 /root/openscap_data 的目录中。
本页面中的预定义策略由 SCAP Security Guide 提供。有关每个可用配置集的详情,请查看 OpenSCAP Portal 中的链接。
还在从 HTTP、HTTPS 或 FTP 服务器中载入附加配置集。
安全策略选择页面

图 11.9. 安全策略选择页面

要配置系统中所使用的安全策略,首先请将 应用安全策略 开关设定为 打开,从而启用配置。如果开关处于 关闭 的位置,则本页面中的其他控制就无效。
使用开关启用安全策略配置后,请从该页面顶部窗口中的配置集列表中选择一个,并点击下面的 选择配置集。选择配置集后,会在右侧出现一个绿色选中标记,同时在底部会显示安装前是否会进行任何修改。

注意

安装开始前,默认没有任何配置集可以执行任何改动。但如下所述载入自定义配置集可能需要预安装动作。
要使用自定义配置集,请点击左上角的 更改内容。这样会打开另一个页面,您可以在该页面中输入有效安全内容的 URL。要返回默认安全内容选择页面,请点击左上角的 使用 SCAP 安全指导
可以从 HTTPHTTPS 或者 FTP 服务器载入自定义配置集。使用该内容的完整地址,其中包括协议(比如 http://)。载入自定义配置集前必须启动网络连接(在 第 11.13 节 “网络 & 主机名” 中启用)。安装程序会自动探测内容类型。
选择配置集后或要离开该页面时,请点击左上角的 完成 返回 第 11.7 节 “安装概述页面”