6.7. 部署安装后立即符合安全配置集的系统

您可以在安装过程后马上使用 OpenSCAP 套件来部署符合安全配置集(如 OSPP 或 PCI-DSS)的 RHEL 系统。使用这种部署方法,您可以应用之后无法使用修复脚本使用的具体规则,例如: 密码强度和分区规则。

6.7.1. 使用图形安装部署基本兼容 RHEL 系统

使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

  • 您已引导到 图形化 安装程序。请注意: OSCAP Anaconda 插件不只支持文本安装。
  • 您已访问 安装概述 窗口。

流程

  1. 安装概述 窗口中点击 软件选择。此时会打开 软件选择窗口。
  2. Base Environment 窗格中选择 服务器 环境。您只能选择一个基本环境。

    警告

    如果要部署兼容的系统,请不要使用 Server with GUI 基础环境的服务器。作为 SCAP Security Guide 的一部分提供的安全配置集可能与 Server with GUI 的扩展软件包不兼容。如需更多信息,请参阅 BZ#1648162BZ#1787156BZ#1816199

  3. 点击 完成 应用设置并返回 安装概述 窗口。
  4. 点击 安全策略。此时会打开 Security Policy 窗口。
  5. 要在系统中启用安全策略,将Apply security policy 切换为 ON
  6. 从配置集栏中选择 Protection Profile for General Purpose Operating Systems.
  7. Select Profile 来确认选择。
  8. 确认在窗口底部显示 Changes that were done or need to be done。完成所有剩余的手动更改。
  9. 因为 OSPP 有必须满足的严格的分区要求,所以可以为 /boot/home/var/var/log/var/tmp/var/log/audit 创建单独的分区。
  10. 完成图形安装过程。

    注意

    图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用 /root/anaconda-ks.cfg 文件自动安装兼容 OSPP 的系统。

验证步骤

  1. 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源

6.7.2. 使用 Kickstart 部署基本兼容 RHEL 系统

使用这个流程部署符合特定条件的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统中。

流程

  1. 在您选择的编辑器中打开 /usr/share/scap-security-guide/kickstarts/ssg-rhel8-ospp-ks.cfg Kickstart 文件。
  2. 更新分区方案以符合您的配置要求。要满足 OSPP 合规性,需要保留 /boot, /home, /var, /var/log, /var/tmp/var/log/audit 的独立分区。 您只能更改分区大小。

    警告

    因为 OSCAP Anaconda Addon 插件不支持只使用文本安装,不要在 Kickstart 文件中使用 text 选项。.如需更多信息,请参阅 RHBZ#1674001

  3. 使用 Kickstart 执行自动安装中所述,启动 Kickstart 安装。
重要

使用哈希格式的密码无法检测 OSPP 要求。

验证步骤

  1. 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源


为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。