Red Hat Training

A Red Hat training course is available for RHEL 8

8.3. 配置合规性扫描

8.3.1. RHEL 8 中的配置合规性

您可以使用配置合规扫描来符合特定组织定义的基准。例如,如果您与美国政府合作,您可能需要遵守操作系统保护配置文件(OSPP),如果您是一个支付处理器,您可能必须遵循支付卡行业数据安全标准(PCI-DSS)。您还可以执行配置合规性扫描来强化您的系统安全性。

红帽建议您遵循 SCAP 安全指南软件包中提供的安全内容自动化协议(SCAP)内容,因为它符合受影响组件的红帽最佳实践。

SCAP 安全指南软件包提供符合 SCAP 1.2 和 SCAP 1.3 标准的内容。openscap 扫描器实用程序与SCAP安全指南包中提供的SCAP 1.2和SCAP 1.3内容兼容。

重要

执行配置合规扫描不能保证系统合规。

SCAP 安全指南套件以数据流文档的形式为多个平台提供配置集。数据流是包含定义、基准、配置集和个别规则的文件。每条规则都规定合规的适用性和要求。RHEL 8 提供多个配置集来满足安全策略要求。除了行业标准之外,红帽数据流还包含用于修复失败规则的信息。

合规性扫描资源的结构

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |            |    ├──rule reference
   |            |    └──variable
   |            ├── rule
   |                 ├── human readable data
   |                 ├── oval reference
   ├── oval          ├── ocil reference
   ├── ocil          ├── cpe reference
   └── cpe           └── remediation

配置集是基于安全策略的一组规则,如 OSPP、PCI-DSS 和健康保障便携性和责任法案(HIPAA)。这可让您以自动化的方式审核系统,以符合安全标准。

您可以修改(尾部)配置集来自定义某些规则,例如密码长度。如需有关定制配置集的更多信息,请参阅使用 SCAP Workbench 自定义安全配置集