微信订阅号二维码
本栏目热门内容
  • 微软安全合规工具包(SCT...
  • SELINUX介绍连载#3:什么...
  • Windows 系统安全基线及软...
  • SELINUX介绍连载#2:模式...
  • 详细了解微软安全合规工具...
  • CIS关键安全控制措施#7持...
  • 从甲方角度介绍“CIS互联...
  • 关于OpenSCAP/SCAP安全策...
  • CIS关键安全控制措施#8审...
  • SELINUX介绍连载#1:基础...
  • CIS关键安全控制措施#9电...
  • 安装RHEL/CentOS时如何选...
  • CIS关键安全控制措施#5账...
  • CIS关键安全控制措施#2软...
  • CIS关键安全控制措施#6访...
  • 什么是网络行为异常检测(...
  • SELINUX介绍连载#4:策略...
  • CIS关键安全控制措施#11数...
  • CIS关键安全控制措施#12网...
  • 如何使用OpenSCAP检查工具...
  • 网络行为异常检测(NBAD)...
  • CIS关键安全控制措施#14安...
  • CIS关键安全控制措施#10防...
  • CIS关键安全控制措施#15服...
  • CIS关键安全控制措施#1总...
  • CIS关键安全控制措施#16应...
  • CIS关键安全控制措施#4企...
  • CIS关键安全控制措施#18渗...
  • CIS关键安全控制措施#16应...
  • 更多...

    安装RHEL/CentOS时如何选择配置安全策略?
    作者:Sender  来源:WaveCN.com  发布日期:2022-03-11  最后修改日期:2022-03-11

      安装RHEL或CentOS时,安装界面会提示选择安全策略(Security Policy)。这个选项的意义大多数安装教程都直接忽略跳过不提。

      如果我们点进去,会看到有数个安全策略可选,但由于不知道是什么用途,大多数人都会放弃选择,或者就选择第一项默认。

      而且,到了比如CentOS 7.2009 版本,安装介质并没有同时携带可选择的安全策略,直接提示输入下载链接,这就更两眼一抹黑了,连去哪里下载都不知道。

      所以本文就粗略介绍一下。

      安全策略是通过SCAP(Security Content Automation Protocol)标准定义的,用于配置安装后的系统要遵循的限制和建议,也可以称为合规策略。

      这个功能是操作系统附加的,当启用时,提供此功能的组件包会被自动安装。

      但默认情况下,没有任何策略会被强制实施。

      我们先结合安装过程实例进行说明。首先我们正常地启动CentOS 7.2009的安装,然后来到配置界面。

      因为需要下载安全策略,所以要配置网络。在DHCP服务器的辅助下只需要简单地打开网络连接开关即可。

       网络连接上之后,点击安全策略:

      进入安全策略配置界面,输入:

    https://access.redhat.com/sites/default/files/attachments/scap-security-guide-0.1.50-scap-1.3-rhel7.zip

      等待下载完成,界面上就会给出可选择的安全策略:

    界面上的几个操作选项分别是:

    • Change Content 按钮用于重新输入下载地址去下载其它安全策略。已经下载好就不要多手再点。

    • Apply Security policy 开关用于选择是否应用安全策略。

    • DataStream 数据流,除非策略包中包含多个数据流,否则没有需要选的。本例就只有1个选项。

    • CheckList 检查表,可以二选一,但实际不需要选,因为第二个选项的作用就只是筛选出我们接下来要选的选项而已,而且还要等好久才筛选出来。

      一般来说,可以选择:

    Standard System Security Profile for Red Hat Enterprise Linux 7

    选中后点击Select Profile,下面的小窗口就会显示出该策略要求系统安装增加的软件包,或者系统现在的安装设置和安全策略冲突的地方。

    比如现在指出的是

    • /var/log/ 必须在独立的分区或逻辑卷,并且要在安装时建立。

    • /var/log/audit 必须在独立的分区或逻辑卷,并且要在安装时建立。

      点击DONE按钮,返回到安装信息汇总界面。界面会提示检测到错误的配置,此时,我们需要手工调整硬盘分区设置,按要求给/var/log指定独立的分区或逻辑卷:

      选择I will configure partitioning 自行配置分区

      选择Click here to create them automatically 自动创建分区

      删除/home挂点分区

      创建/var/log挂点分区,容量40GB

      创建/var/log/audit/挂点分区,容量留空以使用全部可用空间。

      检查无误后,点击DONE,接受分区设置

      返回到安装一览界面,之前的错误配置提示消失。可以继续安装了。

      但如果要深究的话,上文给出的这个安全策略URL是如何找到的呢?

      这多少首先要知道SCAP标准的由来,以及OpenSCAP组织。简单说,Security Content Automation Protocol (SCAP),安全内容自动化协议,是由NIST美国国家标准与技术研究所制定的标准,由OpenSCAP组织在RedHat等赞助商赞助下实现具体安全策略。

      该组织制定了大量的具体策略,可以在此页面看到清单以及每个策略具体措施的介绍:

    http://www.open-scap.org/security-policies/choosing-policy/

      在该页面介绍了可以从NIST的网站获得SCAP策略内容,网址是

    https://web.nvd.nist.gov/view/ncp/repository

    然后这个网站会跳转到

    https://ncp.nist.gov/repository

      这个页面是一个查询页面。于是我们在 Target 选择 RedHat Enterprise Linux 7.7,然后点击Search 按钮:

      结果只有一项。点开页面(https://ncp.nist.gov/checklist/811/download/7494)之后就可以看到下载链接:

    https://access.redhat.com/sites/default/files/attachments/scap-security-guide-0.1.50-scap-1.3-rhel7.zip

    其它参考:

    https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/pdf/security_guide/red_hat_enterprise_linux-7-security_guide-en-us.pdf

    本栏目相关
  •  2022-03-18 微软安全合规工具包(SCT)操作实战
  •  2022-03-09 网络安全等级保护之SELINUX介绍连载之三(什么是策略)
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-03-08 网络安全等级保护之SELINUX介绍连载之二(模式切换篇)
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  •  2022-04-06 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之七:持续的漏洞管理
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-13 关于OpenSCAP/SCAP安全策略的介绍
  •  2022-04-07 如何应用CIS互联网安全中心发布的《CIS关键安全控制措施集》之八:审计日志管理