セキュリティプロファイル固有のファイル抽出 RHEL CentOS

セキュリティプロファイル固有のファイル抽出 RHEL CentOS

RHEL 7.x または CentOS のインストール中に、これらのセキュリティ プロファイルのいずれかを適用することを選択または選択しないことがあります。これは7.6からです。:

  • 米国政府の割り当てベースライン
  • RHEL 7の標準システムセキュリティプロファイル
  • 刑事司法情報サービス(CJIS)
  • RHEL 7用C2S {ビジネスクラウドサービス}
  • 健康保険計画
  • 非連邦情報システム組織の未分類情報(NIST 800-171)
  • RHEL 7用DISAスティック
  • OSPP v4.2
  • RHEL 7用PCI-DSS v3制御ベースライン
  • RHCCP(Red Hat Certified Cloud Provider)情報

1つを選択すると、多数のプロファイルが変更されます。どちら?知っても構いませんが、

簡単に抽出が可能かどうか知りたいです。/etc/ssh/sshd_config実行中のRHELまたはCentOSシステムの指定されたセキュリティプロファイルのファイルいいえプロファイルは、システムの作成時に適用されます。新しいシステムディスクにRHEL / CentOSを10回インストールしてプロファイルを適用し、そのファイルを抽出して比較のためにUSBスティックに保存するのに時間を費やしたくありません。理解。

答え1

(免責事項:私はスクラップの実際の経験がありません。)

欠点:私が知っている限り、「これは私が入れたい基本ではないプロファイルです」という問題ではないので、これを行うのは簡単ではありません。私が知る限り、定義はscap-security-guideパッケージで提供され、設定ファイルは実際には「rootログインなし」、「このSSHアルゴリズムのみを許可する」などの一連の規則です。したがって、完全なファイルの代わりに段階的な変更がたくさん発生します。

ポジティブな側面:上記のパッケージを見ると、ルールの実装はトリプルでインストールされているので(bash、ansible、kickstart)、/usr/share/scap-security-guide「のみ」を見てください。 (アイデアを提供するために、HIPPAロールシェルスクリプトは約800kです。)

もう一つの肯定的な点はレビューです。既存のシステムをガイドと比較できる必要man scap-security-guideがありますoscap。このガイドでは、チェックマークやタスクを含む長いリストをあいまいに提供します。レッドハットスキャップの使用に役立つガイドこれらのレポートを生成します。

関連情報