2.3. 建立 USGCB 相容的安裝映像檔

Red Hat Enterprise Linux 6 的 scap-security-guide 套件包括了特製的 Kickstart 檔案,可以用來安裝符合 美國政府配置基準(USGCB,United States Government Configuration Baseline)標準的強固系統。這對需要符合此標準,以適用於政府規範時,非常有用。
這個 Kickstart 配置檔案也可以用在 Red Hat Enterprise Linux 6 伺服器版上。使用後,系統會自動由 OpenSCAP 配置,在後安裝的 script 中符合 USGCB 規範。安裝結束後,您可以至安裝好之系統上的 /root/ 目錄,檢視報告。

注意

scap-security-guide 提供的 Kickstart 檔案包含了所有所需指令,讓安裝過程完全自動。
也請注意,在安裝過程中,Kickstart 檔案需要存取網際網路,以下載最新的評測資料。
欲知規範與使用 OpenSCAP 進行掃描的資訊,請參閱《Red Hat Enterprise Linux 6 安全指南》的相關章節。
要取得 Kickstart 檔案,請安裝位於現有 Red Hat Enterprise Linux 6 系統上的 scap-security-guide 套件。套件安裝後,您可以在 /usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg 找到此 Kickstart 檔案。
取得檔案後,請將此檔案複製到家目錄中,然後使用文字編輯器編輯。請參考〈節 32.4, “Kickstart 的選項”〉所提到的選項與檔案中的註解。有些註解提到 CEE(一般配置列舉,Common Configuration Enumeration)的識別子號碼,您可以在〈CCE 文庫〉中找到更多訊息。
Kickstart 檔案中,可加以變更的重要部分有:
  • 套件軟體庫的位置:url 指令。要使用位於 HTTP 或 FTP 伺服器上的套件軟體庫,請以軟體庫所在位置的伺服器之 IP 位址取代預設的 IP 位址。nfscdromharddrive 分別表示 NFS 伺服器、光碟或本機硬碟。
  • 系統語言、鍵盤佈局、時區:langkeyboardtimezone 指令。
  • root 的密碼:rootpw 指令。預設上,Kickstart 所配置的 root 密碼是「server」。請一定要產生新的校驗碼,並加以變更。
  • 開機載入程式的密碼:bootloader --password= 指令。預設密碼為「password」。請一定要產生新的校驗碼,並加以變更。
  • 網路配置:network 指令。預設上會啟用 DHCP,請視需要加以變更。
  • 選取套件:修改 Kickstart 檔案中的 %packages 一節,以安裝您需要的套件與套件群組。

    重要

    gitaideopenscap-utils 都是必安裝的套件。Kickstart 與後安裝的 OpenSCAP 系統評估程式,都需要這些套件才能運行。
  • 磁碟分割區佈局:partvolgrouplogvol 指令。
    USGCB 標準定義了強固的需求以符合系統磁碟佈局的規範,這表示預設上 Kickstart 檔案所定義的邏輯卷冊:/home/tmp/var/var/log 以及 /var/log/audit,必須建立為獨立的分割區或邏輯卷冊。除此之外,Red Hat Enterprise Linux 要求使用者建立 /boot 實體分割區、以及 /swap 卷冊。這都定義在預設的 Kickstart 中;您可以增加獨立的邏輯卷冊或分割區,也可以改變卷冊的預設大小。

    注意

    預設上,/var/log/audit 卷冊最多只會用到 512 MB 的空間。因為大量的呼叫會被稽核,因此建議將這大小增加至至少 1,024 MB。
Kickstart 檔案的其它部分可以直接使用。完成修改後,請進行〈節 32.8.1, “建立 Kickstart 開機媒體”〉,並將其放入 ISO 映像檔中,用來安裝新系統。