8.3. 升级系统强化到安全基点
要在成功升级到 RHEL 9 后获得完全强化的系统,您可以使用 OpenSCAP 套件提供的自动化补救功能。OpenSCAP 修复使您的系统符合安全基线,如 PCI-DSS、OSPP 或 ACSC Essential Eight。由于安全产品的演进,配置合规性建议在 RHEL 的主要版本之间有所不同。
当升级一个强化的 RHEL 8 系统时,Leapp 工具 不 提供保持完整强化的直接方法。根据组件配置中的更改,该系统可能会在升级过程中偏离 RHEL 9 的建议。
您不能使用相同的 SCAP 内容扫描 RHEL 8 和 RHEL 9。如果系统的合规性(如 Red Hat Satellite 或 Red Hat Insights )进行管理,则更新管理平台。
作为自动化修复的替代方法,您可以按照 OpenSCAP 生成的报告手动进行更改。有关生成合规性报告的详情,请参考 扫描系统的安全合规性和漏洞。
在默认配置中,自动化修复支持 RHEL 系统。因为升级后更改了系统配置,因此运行自动补救可能无法使系统完全与所需的安全配置集兼容。您可能需要手动修复一些要求。
以下示例流程根据 PCI-DSS 配置集强化您的系统设置。
先决条件
-
scap-security-guide软件包会在 RHEL 9 系统中安装。
流程
查找合适的安全合规数据流
.xml文件:$ ls /usr/share/xml/scap/ssg/content/ ... ssg-rhel9-ds.xml ...如需更多信息,请参阅 Viewing compliance profiles 部分。
根据从合适的数据流所选的配置文件来修复系统:
# oscap xccdf eval --profile pci-dss --remediate /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml您可以根据您要强化系统的配置集 ID 替换
--profile参数中的pci-dss值。有关 RHEL 9 支持的配置集的完整列表,请参阅 RHEL 支持的 SCAP 安全配置集。警告如果没有谨慎使用,在启用
--remediate选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由强化安全的修复所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行修复可能无法使其遵守所需的安全配置文件。重启您的系统:
# reboot
验证
验证系统是否遵从配置文件,并将结果保存到 HTML 文件中:
$ oscap xccdf eval --report pcidss_report.html --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
其他资源
-
scap-security-guide(8)和oscap(8)手册页 - 扫描系统以了解安全合规和漏洞
- Red Hat Insights 安全策略
- Red Hat Satellite 安全策略
