Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
2.3. 建立 USGCB 相容的安裝映像檔
Red Hat Enterprise Linux 6 的 scap-security-guide 套件包括了特製的 Kickstart 檔案,可以用來安裝符合 美國政府配置基準(USGCB,United States Government Configuration Baseline)標準的強固系統。這對需要符合此標準,以適用於政府規範時,非常有用。
這個 Kickstart 配置檔案也可以用在 Red Hat Enterprise Linux 6 伺服器版上。使用後,系統會自動由 OpenSCAP 配置,在後安裝的 script 中符合 USGCB 規範。安裝結束後,您可以至安裝好之系統上的
/root/
目錄,檢視報告。
注意
scap-security-guide 提供的 Kickstart 檔案包含了所有所需指令,讓安裝過程完全自動。
也請注意,在安裝過程中,Kickstart 檔案需要存取網際網路,以下載最新的評測資料。
欲知規範與使用 OpenSCAP 進行掃描的資訊,請參閱《Red Hat Enterprise Linux 6 安全指南》的相關章節。
要取得 Kickstart 檔案,請安裝位於現有 Red Hat Enterprise Linux 6 系統上的 scap-security-guide 套件。套件安裝後,您可以在
/usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg
找到此 Kickstart 檔案。
取得檔案後,請將此檔案複製到家目錄中,然後使用文字編輯器編輯。請參考〈節 32.4, “Kickstart 的選項”〉所提到的選項與檔案中的註解。有些註解提到 CEE(一般配置列舉,Common Configuration Enumeration)的識別子號碼,您可以在〈CCE 文庫〉中找到更多訊息。
Kickstart 檔案中,可加以變更的重要部分有:
- 套件軟體庫的位置:
url
指令。要使用位於 HTTP 或 FTP 伺服器上的套件軟體庫,請以軟體庫所在位置的伺服器之 IP 位址取代預設的 IP 位址。nfs
、cdrom
或harddrive
分別表示 NFS 伺服器、光碟或本機硬碟。 - 系統語言、鍵盤佈局、時區:
lang
、keyboard
與timezone
指令。 - root 的密碼:
rootpw
指令。預設上,Kickstart 所配置的 root 密碼是「server」。請一定要產生新的校驗碼,並加以變更。 - 開機載入程式的密碼:
bootloader --password=
指令。預設密碼為「password」。請一定要產生新的校驗碼,並加以變更。 - 網路配置:
network
指令。預設上會啟用 DHCP,請視需要加以變更。 - 選取套件:修改 Kickstart 檔案中的
%packages
一節,以安裝您需要的套件與套件群組。重要
git、aide 與 openscap-utils 都是必安裝的套件。Kickstart 與後安裝的 OpenSCAP 系統評估程式,都需要這些套件才能運行。 - 磁碟分割區佈局:
part
、volgroup
與logvol
指令。USGCB 標準定義了強固的需求以符合系統磁碟佈局的規範,這表示預設上 Kickstart 檔案所定義的邏輯卷冊:/home
、/tmp
、/var
、/var/log
以及/var/log/audit
,必須建立為獨立的分割區或邏輯卷冊。除此之外,Red Hat Enterprise Linux 要求使用者建立/boot
實體分割區、以及/
與swap
卷冊。這都定義在預設的 Kickstart 中;您可以增加獨立的邏輯卷冊或分割區,也可以改變卷冊的預設大小。注意
預設上,/var/log/audit
卷冊最多只會用到 512 MB 的空間。因為大量的呼叫會被稽核,因此建議將這大小增加至至少 1,024 MB。
Kickstart 檔案的其它部分可以直接使用。完成修改後,請進行〈節 32.8.1, “建立 Kickstart 開機媒體”〉,並將其放入 ISO 映像檔中,用來安裝新系統。