跳至内容

操作指南:快速 STIG Rocky Linux 8 - 第一部分

术语参考

  • DISA - Defense Information Systems Agency(国防信息系统局)
  • RHEL8 - Red Hat Enterprise Linux 8(红帽企业 Linux 8)
  • STIG - Secure Technical Implementation Guide(安全技术实施指南)
  • SCAP - Secure Content Automation Protocol(安全内容自动化协议)
  • DoD - Department of Defense(美国国防部)

简介

在本指南中,我们将介绍如何为 Rocky Linux 8 的新安装应用 DISA STIG for RHEL8。作为一个多部分系列,我们还将介绍在此环境中如何测试 STIG 合规性、调整 STIG 设置以及应用其他 STIG 内容。

Rocky Linux 是 RHEL 的一个逐个 bug 衍生的版本,因此 DISA RHEL8 STIG 发布的内容对这两个操作系统都适用。更好的消息是,在 Rocky Linux 8 的 anaconda 安装程序中,安全配置文件下内置了应用 STIG 设置的功能。这 all 由一个名为 OpenSCAP 的工具驱动,它可以让您配置系统以符合 DISA STIG(快速!),并在安装后测试系统的合规性。

我将在我的环境中进行虚拟机上的操作,但这里介绍的所有内容在裸机上都完全适用。

步骤 1:创建虚拟机

  • 2G 内存
  • 30G 磁盘
  • 1 核

Virtual Machine

步骤 2:下载 Rocky Linux 8 DVD ISO

下载 Rocky Linux DVD注意: 最小 ISO 不包含应用 Rocky Linux 8 STIG 所需的内容,您需要使用 DVD 或网络安装。

Download Rocky

步骤 3:启动安装程序

Boot The Installer

步骤 4:首先选择分区

这可能是安装中最复杂的一步,也是符合 STIG 的要求。您需要以一种可能会产生新问题的方式对操作系统的文件系统进行分区。换句话说:您需要确切了解您的存储需求。

专业提示

Linux 允许您调整文件系统大小,这将在另一篇文章中介绍。总而言之,这是在裸机上应用 DISA STIG 的一个重大问题,经常需要完全重新安装来解决,所以在这里要过度分配您所需的大小。

Partitioning

  • 选择“自定义”,然后选择“完成”

Partitioning Custom

  • 开始添加分区

Add Partitions

DISA STIG 分区方案,适用于 30G 磁盘。我的用例是作为简单的 Web 服务器

  • / (10G)
  • /boot (500m)
  • /var (10G)
  • /var/log (4G)
  • /var/log/audit (1G)
  • /home (1G)
  • /tmp (1G)
  • /var/tmp (1G)
  • Swap (2G)

专业提示

配置最后一个分区,并给它一个非常大的数字,这将把剩余的所有磁盘空间都放在 / 上,您将不必进行任何计算。

Slash Partition

专业提示

重申之前的专业提示:过度分配您的文件系统,即使您以后需要再次扩展它们。

  • 点击“完成”,然后点击“接受更改”

Confirm Partitioning

Accept Changes

步骤 5:为您的环境配置软件:无 GUI 的服务器安装

这将在步骤 6 中很重要,所以如果您使用的是 UI 或工作站配置,安全配置文件将有所不同。

Software Selection

步骤 6:选择安全配置文件

这将基于所选策略配置系统上的许多安全设置,利用 SCAP 框架。它将修改您在步骤 5 中选择的软件包,添加或删除所需的组件。如果您在步骤 5 中选择了 GUI 安装,并在本步骤中使用非 GUI STIG,它将删除 GUI。请相应调整!

Security Profile

选择 DISA STIG for Red Hat Enterprise Linux 8

DISA STIG

点击“选择配置文件”,并注意它将对系统进行的更改。这将设置挂载点的选项,添加/删除应用程序,并进行其他配置更改

Select Profile_A

Select_Profile_B

步骤 7:点击“完成”,然后继续进行最终设置

Finalize Profile

步骤 8:创建一个用户帐户,并将该用户设置为管理员

在后续教程中,我们可以讨论将其加入 FreeIPA 企业配置。目前,我们将它视为独立系统。请注意,我没有设置 root 密码,而是让我们的默认用户具有 sudo 访问权限。

User Setup

步骤 9:点击“完成”,然后点击“开始安装”

Begin Installation

步骤 10:安装完成后,点击“重启系统”

Reboot

步骤 11:登录到您的 STIG'd Rocky Linux 8 系统

DoD Warning

如果一切顺利,您应该在此处看到默认的 DoD 警告横幅。

Final Screen

关于作者

Scott Shinn 是 Atomicorp 的首席技术官,也是 Rocky Linux 安全团队的成员。自 1995 年以来,他一直参与白宫、国防部和情报界的联邦信息系统工作。其中一部分工作是创建 STIG 并强制要求使用它们,对此我深表歉意。

作者:Scott Shinn

贡献者:Steven Spencer, Ganna Zhyrnova