Jump To Close Expand all Collapse all Table of contents 安全强化 使开源包含更多 对红帽文档提供反馈 1. RHEL 安全强化概述 Expand section "1. RHEL 安全强化概述" Collapse section "1. RHEL 安全强化概述" 1.1. 什么是计算机安全性? 1.2. 标准化安全 1.3. 加密软件和认证 1.4. 安全控制 Expand section "1.4. 安全控制" Collapse section "1.4. 安全控制" 1.4.1. 物理控制 1.4.2. 技术控制 1.4.3. 管理控制 1.5. 漏洞评估 Expand section "1.5. 漏洞评估" Collapse section "1.5. 漏洞评估" 1.5.1. 定义评估并测试 1.5.2. 建立漏洞评估方法 1.5.3. 漏洞评估工具 1.6. 安全威胁 Expand section "1.6. 安全威胁" Collapse section "1.6. 安全威胁" 1.6.1. 对网络安全的威胁 1.6.2. 服务器安全隐患 1.6.3. 对工作站和家庭 PC 安全的威胁 1.7. 常见的漏洞和攻击 2. 在安装过程中保护 RHEL Expand section "2. 在安装过程中保护 RHEL" Collapse section "2. 在安装过程中保护 RHEL" 2.1. BIOS 和 UEFI 安全 Expand section "2.1. BIOS 和 UEFI 安全" Collapse section "2.1. BIOS 和 UEFI 安全" 2.1.1. BIOS 密码 2.1.2. 非基于 BIOS 的系统安全性 2.2. 磁盘分区 2.3. 在安装过程中限制网络连接 2.4. 安装所需的最少软件包 2.5. 安装后流程 3. 在 FIPS 模式中安装系统 Expand section "3. 在 FIPS 模式中安装系统" Collapse section "3. 在 FIPS 模式中安装系统" 3.1. 联邦信息处理标准 140 和 FIPS 模式 3.2. 安装启用了 FIPS 模式的系统 3.3. 其它资源 4. 使用系统范围的加密策略 Expand section "4. 使用系统范围的加密策略" Collapse section "4. 使用系统范围的加密策略" 4.1. 系统范围的加密策略 4.2. 将系统范围的加密策略切换到与早期版本兼容的模式 4.3. 在 web 控制台中设置系统范围的加密策略 4.4. 将系统切换到 FIPS 模式 4.5. 在容器中启用 FIPS 模式 4.6. 使用与 FIPS 140-2 不兼容的加密的 RHEL 应用程序列表 4.7. 将应用程序从下列系统范围的加密策略中排除 Expand section "4.7. 将应用程序从下列系统范围的加密策略中排除" Collapse section "4.7. 将应用程序从下列系统范围的加密策略中排除" 4.7.1. 选择不使用系统范围的加密策略的示例 4.8. 使用子策略自定义系统范围的加密策略 4.9. 通过自定义系统范围的加密策略来禁用 SHA-1 4.10. 创建并设置自定义系统范围的加密策略 4.11. 其它资源 5. 使用 crypto-policies RHEL 系统角色设置自定义加密策略 Expand section "5. 使用 crypto-policies RHEL 系统角色设置自定义加密策略" Collapse section "5. 使用 crypto-policies RHEL 系统角色设置自定义加密策略" 5.1. crypto_policies 系统角色变量和事实 5.2. 使用 crypto_policies 系统角色设置自定义加密策略 5.3. 其它资源 6. 通过 PKCS#11 将应用程序配置为使用加密硬件 Expand section "6. 通过 PKCS#11 将应用程序配置为使用加密硬件" Collapse section "6. 通过 PKCS#11 将应用程序配置为使用加密硬件" 6.1. 通过 PKCS #11 的加密硬件支持 6.2. 使用保存在智能卡中的 SSH 密钥 6.3. 配置应用程序以使用智能卡的证书进行身份验证 6.4. 在 Apache 中使用 HSM 保护私钥 6.5. 使用 HSM 保护 Nginx 中的私钥 6.6. 其它资源 7. 使用 polkit 控制对智能卡的访问 Expand section "7. 使用 polkit 控制对智能卡的访问" Collapse section "7. 使用 polkit 控制对智能卡的访问" 7.1. 通过 polkit 的智能卡访问控制 7.2. 排除与 PC/SC 和 polkit 相关的问题 7.3. 向 PC/SC 显示关于 polkit 授权的更多详细信息 7.4. 其它资源 8. 扫描系统以了解配置合规性和漏洞 Expand section "8. 扫描系统以了解配置合规性和漏洞" Collapse section "8. 扫描系统以了解配置合规性和漏洞" 8.1. RHEL 中的配置合规工具 8.2. 漏洞扫描 Expand section "8.2. 漏洞扫描" Collapse section "8.2. 漏洞扫描" 8.2.1. 红帽安全咨询 OVAL 源 8.2.2. 扫描系统漏洞 8.2.3. 扫描远程系统的漏洞 8.3. 配置合规性扫描 Expand section "8.3. 配置合规性扫描" Collapse section "8.3. 配置合规性扫描" 8.3.1. RHEL 中的配置合规性 8.3.2. OpenSCAP 扫描的可能结果 8.3.3. 查看配置文件是否符合配置合规 8.3.4. 评估配置是否符合特定基准 8.4. 修复系统,使其与特定基准一致 8.5. 使用 SSG Ansible playbook 修复系统以与特定基准保持一致 8.6. 创建修复 Ansible playbook,使系统与特定的基准一致 8.7. 为后续应用程序创建补救 Bash 脚本 8.8. 使用 SCAP Workbench 用自定义配置文件扫描系统 Expand section "8.8. 使用 SCAP Workbench 用自定义配置文件扫描系统" Collapse section "8.8. 使用 SCAP Workbench 用自定义配置文件扫描系统" 8.8.1. 使用 SCAP Workbench 来扫描和修复系统 8.8.2. 使用 SCAP Workbench 自定义安全配置文件 8.8.3. 其它资源 8.9. 安装后立即部署符合安全配置集的系统 Expand section "8.9. 安装后立即部署符合安全配置集的系统" Collapse section "8.9. 安装后立即部署符合安全配置集的系统" 8.9.1. 配置文件与 Server with GUI 不兼容 8.9.2. 使用图形安装部署基本兼容 RHEL 系统 8.9.3. 使用 Kickstart 部署基本兼容 RHEL 系统 8.10. 扫描容器和容器镜像以查找漏洞 8.11. 使用特定基准评估容器或容器镜像的安全性合规 8.12. RHEL 8 中支持的 SCAP 安全指南配置文件 8.13. 其它资源 9. 使用 AIDE 检查完整性 Expand section "9. 使用 AIDE 检查完整性" Collapse section "9. 使用 AIDE 检查完整性" 9.1. 安装 AIDE 9.2. 使用 AIDE 执行完整性检查 9.3. 更新 AIDE 数据库 9.4. 文件完整性工具:AIDE 和 IMA 9.5. 其它资源 10. 使用内核完整性子系统提高安全性 Expand section "10. 使用内核完整性子系统提高安全性" Collapse section "10. 使用内核完整性子系统提高安全性" 10.1. 内核完整性子系统 10.2. 可信和加密的密钥 10.3. 使用可信密钥 10.4. 使用加密密钥 10.5. 启用 IMA 和 EVM 10.6. 使用完整性测量架构收集文件哈希 11. 使用 LUKS 加密块设备 Expand section "11. 使用 LUKS 加密块设备" Collapse section "11. 使用 LUKS 加密块设备" 11.1. LUKS 磁盘加密 11.2. RHEL 中的 LUKS 版本 11.3. LUKS2 重新加密过程中数据保护选项 11.4. 使用 LUKS2 加密块设备上的现有数据 11.5. 使用带有分离标头的 LUKS2 在块设备上加密现有数据 11.6. 使用 LUKS2 加密空白块设备 11.7. 使用 storage RHEL 系统角色创建 LUKS2 加密的卷 12. 使用基于策略的解密配置加密卷的自动解锁 Expand section "12. 使用基于策略的解密配置加密卷的自动解锁" Collapse section "12. 使用基于策略的解密配置加密卷的自动解锁" 12.1. 网络绑定磁盘加密 12.2. 安装加密客户端 - Clevis 12.3. 部署 SELinux 处于 enforcing 模式的 Tang 服务器 12.4. 轮转 Tang 服务器密钥并更新客户端上的绑定 12.5. 在 web 控制台中使用 Tang 键配置自动解锁 12.6. 基本的 NBDE 和 TPM2 加密客户端操作 12.7. 配置 LUKS 加密卷的手动注册 12.8. 使用 TPM 2.0 策略配置 LUKS 加密卷的手动注册 12.9. 手动从 LUKS 加密卷中删除 Clevis pin 12.10. 使用 Kickstart 配置 LUKS 加密卷的自动注册 12.11. 配置 LUKS 加密的可移动存储设备的自动解锁 12.12. 部署高可用性 NBDE 系统 Expand section "12.12. 部署高可用性 NBDE 系统" Collapse section "12.12. 部署高可用性 NBDE 系统" 12.12.1. 使用 Shamir 的 Secret 共享的高可用性 NBDE Expand section "12.12.1. 使用 Shamir 的 Secret 共享的高可用性 NBDE" Collapse section "12.12.1. 使用 Shamir 的 Secret 共享的高可用性 NBDE" 12.12.1.1. 示例 1:带有两个 Tang 服务器的冗余 12.12.1.2. 示例 2:Tang 服务器和 TPM 设备上共享的 secret 12.13. NBDE 网络中虚拟机的部署 12.14. 使用 NBDE 为云环境构建可自动注册的虚拟机镜像 12.15. 将 Tang 部署为容器 12.16. nbde_client 和 nbde_server 系统角色 (Clevis 和 Tang) 简介 12.17. 使用 nbde_server 系统角色设置多个 Tang 服务器 12.18. 使用 nbde_client 系统角色设置多个 Clevis 客户端 13. 审计系统 Expand section "13. 审计系统" Collapse section "13. 审计系统" 13.1. Linux 审计 13.2. 审计系统架构 13.3. 为安全环境配置 auditd 13.4. 启动和控制 auditd 13.5. 了解审计日志文件 13.6. 使用 auditctl 来定义和执行审计规则 13.7. 定义持久性审计规则 13.8. 使用预配置的规则文件 13.9. 使用 augenrules 来定义持久性规则 13.10. 禁用 augenrules 13.11. 设置审计来监控软件更新 13.12. 使用审计监控用户登录时间 13.13. 其它资源 14. 使用 fapolicyd 阻止和允许应用程序 Expand section "14. 使用 fapolicyd 阻止和允许应用程序" Collapse section "14. 使用 fapolicyd 阻止和允许应用程序" 14.1. fapolicyd 简介 14.2. 部署 fapolicyd 14.3. 使用其它信任源将文件标记为可信 14.4. 为 fapolicyd 添加自定义 allow 和 deny 规则 14.5. 启用 fapolicyd 完整性检查 14.6. 故障排除与 fapolicyd 相关的问题 14.7. 其它资源 15. 保护系统免受入侵 USB 设备的攻击 Expand section "15. 保护系统免受入侵 USB 设备的攻击" Collapse section "15. 保护系统免受入侵 USB 设备的攻击" 15.1. USBGuard 15.2. 安装 USBGuard 15.3. 使用 CLI 阻止和授权 USB 设备 15.4. 永久阻止和授权 USB 设备 15.5. 为 USB 设备创建自定义策略 15.6. 为 USB 设备创建结构化自定义策略 15.7. 授权用户和组使用 USBGuard IPC 接口 15.8. 将 USBguard 授权事件记录到 Linux 审计日志中 15.9. 其它资源 法律通告 Settings Close Language: 한국어 简体中文 日本語 English Português Español Language: 한국어 简体中文 日本語 English Português Español Format: Multi-page Single-page Format: Multi-page Single-page Language and Page Formatting Options Language: 한국어 简体中文 日本語 English Português Español Language: 한국어 简体中文 日本語 English Português Español Format: Multi-page Single-page Format: Multi-page Single-page Red Hat Training A Red Hat training course is available for RHEL 8 安全强化 Red Hat Enterprise Linux 8增强 Red Hat Enterprise Linux 8 系统的安全性Red Hat Customer Content Services法律通告摘要 了解保护 Red Hat Enterprise Linux 服务器和工作站免受本地和远程入侵、利用和恶意活动的流程和实践。通过使用这些方法和工具,您可以为数据中心、工作场所和家创建更安全的计算环境。 Next