HOWTO:快速 STIG Rocky Linux 8 - 第 1 部分¶
术语参考¶
- DISA - 国防信息系统局
- RHEL8 - Red Hat Enterprise Linux 8
- STIG - 安全技术实施指南
- SCAP - 安全内容自动化协议
- DoD - 国防部
简介¶
在本指南中,我们将介绍如何在 Rocky Linux 8 的新安装中应用 RHEL8 的 DISA STIG。作为多部分系列,我们还将介绍如何测试 STIG 合规性,调整 STIG 设置,以及在此环境中应用其他 STIG 内容。
Rocky Linux 是 RHEL 的一个 bug for bug 派生版,因此针对 DISA RHEL8 STIG 发布的内容在两个操作系统中都具有同等性。更棒的消息是,应用 STIG 设置已内置在 Rocky Linux 8 的 anaconda 安装程序中,位于安全配置文件下。在幕后,这一切都由一个名为 OpenSCAP 的工具提供支持,它可以让您将系统配置为符合 DISA STIG(快速!),并还可以在您安装后测试系统的合规性。
我将在我的环境中的虚拟机上执行此操作,但这里的所有内容都可以在裸机上以完全相同的方式应用。
步骤 1:创建虚拟机¶
- 2G 内存
- 30G 磁盘
- 1 个核心
步骤 2:下载 Rocky Linux 8 DVD ISO¶
下载 Rocky Linux DVD。注意:最小 ISO 不包含应用 Rocky Linux 8 的 STIG 所需的内容,您需要使用 DVD 或网络安装。
步骤 3:启动安装程序¶
步骤 4:首先选择分区¶
这可能是安装中最复杂的一步,也是符合 STIG 的要求。您需要以一种可能导致新问题的方式对操作系统文件系统进行分区。换句话说:您需要确切地知道您的存储需求。
专业提示
Linux 允许您调整文件系统大小,我们将在另一篇文章中介绍。这里只需说,这是在裸机上应用 DISA STIG 的主要问题之一,通常需要重新安装才能解决,因此在此处将所需的尺寸过高指定。
- 选择“自定义”,然后选择“完成”。
- 开始添加分区
DISA STIG 分区方案适用于 30G 磁盘。我的用例是作为简单的 Web 服务器
- / (10G)
- /boot (500m)
- /var (10G)
- /var/log (4G)
- /var/log/audit (1G)
- /home (1G)
- /tmp (1G)
- /var/tmp (1G)
- 交换 (2G)
专业提示
配置 / 最后并赋予它一个非常大的数字,这将把磁盘上剩余的所有剩余空间都放到 / 上,您将不必进行任何数学计算。
专业提示
再次重申上一个专业提示:过度指定您的文件系统,即使您以后必须再次扩展它们。
- 点击“完成”和“接受更改”。
步骤 5:为您的环境配置软件:没有 GUI 的服务器安装¶
这将在**步骤 6**中很重要,因此如果您使用的是 UI 或工作站配置,则安全配置文件将不同。
步骤 6:选择安全配置文件¶
本步骤将根据所选策略配置系统上的多个安全设置,利用 SCAP 框架。它将修改您在**步骤 5**中选择的软件包,添加或删除所需的组件。如果您在**步骤 5**中选择了 GUI 安装,并且在本步骤中使用非 GUI STIG,它将删除 GUI。请根据需要调整!
选择适用于 Red Hat Enterprise Linux 8 的 DISA STIG
点击“选择配置文件”,并注意它将对系统进行的更改。这将设置挂载点上的选项,添加/删除应用程序,并进行其他配置更改
步骤 7:点击“完成”,然后继续进行最终设置¶
步骤 8:创建用户帐户,并将该用户设置为管理员¶
在后面的教程中,我们可以研究将此加入 FreeIPA 企业配置。目前,我们将把它视为一个独立的系统。请注意,我没有设置 root 密码,而是为我们的默认用户提供sudo访问权限。
步骤 9:点击“完成”,然后点击“开始安装”¶
步骤 10:安装完成后,点击“重启系统”¶
步骤 11:登录到您的 STIG 化的 Rocky Linux 8 系统¶
如果一切顺利,您应该在此处看到默认的 DoD 警告横幅。
关于作者¶
Scott Shinn 是 Atomicorp 的 CTO,也是 Rocky Linux 安全团队的成员。自 1995 年以来,他一直参与白宫、国防部和情报界的联邦信息系统。其中的一部分是创建 STIG 和要求您使用它们,对此我深表歉意。
作者:Scott Shinn
贡献者:Steven Spencer,Ganna Zhyrnova