在安装 RHEL 7.x 或 CentOS 期间,可以选择(或不选择)应用这些安全配置文件之一这些来自 7.6:
- 美国政府配置基准
- RHEL 7 的标准系统安全配置文件
- 刑事司法信息服务 (CJIS)
- RHEL 7 的 C2S {商业云服务}
- 健康保险计划
- 非联邦信息系统组织中的非机密信息 (NIST 800-171)
- 适用于 RHEL 7 的 DISA stig
- OSPP v4.2
- RHEL 7 的 PCI-DSS v3 控制基线
- 红帽公司认证云提供商简介 (RHCCP)
在选择一个时,它会更改大量的配置文件。哪个?我不介意知道,但是
我想知道是否可以提取,简单地说/etc/ssh/sshd_config用于来自已运行的 RHEL 或 CentOS 系统的给定安全配置文件的文件不是在系统创建时应用该配置文件;我不想花时间在新的系统磁盘上安装 RHEL/CentOS(10 次)并应用配置文件,然后提取所述文件并将其保存到 U 盘以进行比较和理解。
答案1
(免责声明:我对 scap 的实践经验为零。)
不利的一面:据我所知,做到这一点并不容易,因为这不是“这是我要放入的非默认配置文件”的问题。据我所知,定义是由scap-security-guide包提供的,配置文件实际上是一大堆规则,例如“禁止 root 登录”、“仅允许这些 ssh 算法”等。因此,我们不是完整的文件,而是获得一大堆增量更改。
积极的一面是:如果您查看上述包,它会一式三份(bash、ansible、kickstart)将规则的实施安装到 中/usr/share/scap-security-guide,因此您“仅”需要查看那里。 (给您一个想法,HIPPA 角色 shell 脚本约为 800k。)
另一个积极的方面是:查看man scap-security-guide,您应该能够oscap将现有系统与指南进行比较,这将模糊地为您提供一个带有复选标记或待办事项的长列表。红帽有使用 scap 的有用指南生成这些报告。