安装RHEL/CentOS时如何选择配置安全策略?
安装RHEL或CentOS时,安装界面会提示选择安全策略(Security Policy)。这个选项的意义大多数安装教程都直接忽略跳过不提。
笔者:国际认证信息系统审计师、软考系统分析师
如果我们点进去,会看到有数个安全策略可选,但由于不知道是什么用途,大多数人都会放弃选择,或者就选择第一项默认。
而且,到了比如CentOS 7.2009 版本,安装介质并没有同时携带可选择的安全策略,直接提示输入下载链接,这就更两眼一抹黑了,连去哪里下载都不知道。
所以本文就粗略介绍一下。
安全策略是通过SCAP(Security Content Automation Protocol)标准定义的,用于配置安装后的系统要遵循的限制和建议,也可以称为合规策略。
这个功能是操作系统附加的,当启用时,提供此功能的组件包会被自动安装。
但默认情况下,没有任何策略会被强制实施。
我们先结合安装过程实例进行说明。首先我们正常地启动CentOS 7.2009的安装,然后来到配置界面。
因为需要下载安全策略,所以要配置网络。在DHCP服务器的辅助下只需要简单地打开网络连接开关即可。
网络连接上之后,点击安全策略:
进入安全策略配置界面,输入:
等待下载完成,界面上就会给出可选择的安全策略:
界面上的几个操作选项分别是:
-
Change Content 按钮用于重新输入下载地址去下载其它安全策略。已经下载好就不要多手再点。
-
Apply Security policy 开关用于选择是否应用安全策略。
-
DataStream 数据流,除非策略包中包含多个数据流,否则没有需要选的。本例就只有1个选项。
-
CheckList 检查表,可以二选一,但实际不需要选,因为第二个选项的作用就只是筛选出我们接下来要选的选项而已,而且还要等好久才筛选出来。
一般来说,可以选择:
Standard System Security Profile for Red Hat Enterprise Linux 7
选中后点击Select Profile,下面的小窗口就会显示出该策略要求系统安装增加的软件包,或者系统现在的安装设置和安全策略冲突的地方。
比如现在指出的是
-
/var/log/ 必须在独立的分区或逻辑卷,并且要在安装时建立。
-
/var/log/audit 必须在独立的分区或逻辑卷,并且要在安装时建立。
点击DONE按钮,返回到安装信息汇总界面。界面会提示检测到错误的配置,此时,我们需要手工调整硬盘分区设置,按要求给/var/log指定独立的分区或逻辑卷:
选择I will configure partitioning 自行配置分区
选择Click here to create them automatically 自动创建分区
删除/home挂点分区
创建/var/log挂点分区,容量40GB
创建/var/log/audit/挂点分区,容量留空以使用全部可用空间。
检查无误后,点击DONE,接受分区设置
返回到安装一览界面,之前的错误配置提示消失。可以继续安装了。
但如果要深究的话,上文给出的这个安全策略URL是如何找到的呢?
这多少首先要知道SCAP标准的由来,以及OpenSCAP组织。简单说,Security Content Automation Protocol (SCAP),安全内容自动化协议,是由NIST美国国家标准与技术研究所制定的标准,由OpenSCAP组织在RedHat等赞助商赞助下实现具体安全策略。
该组织制定了大量的具体策略,可以在此页面看到清单以及每个策略具体措施的介绍:
http://www.open-scap.org/security-policies/choosing-policy/
在该页面介绍了可以从NIST的网站获得SCAP策略内容,网址是
https://web.nvd.nist.gov/view/ncp/repository
然后这个网站会跳转到
https://ncp.nist.gov/repository
这个页面是一个查询页面。于是我们在 Target 选择 RedHat Enterprise Linux 7.7,然后点击Search 按钮:
结果只有一项。点开页面(https://ncp.nist.gov/checklist/811/download/7494)之后就可以看到下载链接:
其它参考:
本页网址二维码: