[FrontPage] [TitleIndex] [WordIndex

This is a read-only archived version of wiki.centos.org

CentOS-7 安裝程式安全性設定檔

ArtWork/WikiDesign/icon-admonition-idea.png

CentOS 計劃 沒有 為 CentOS Linux 的安全性提供任何驗證、認證、或軟件保證。CentOS Linux 安裝程式提供的 安全性設定檔 是轉換自 RHEL 的源代碼。要是你所追求的是獲認證/驗證的軟件保證,你大概不應採用 CentOS Linux。

1. CentOS Linux 與安全性

請參閱以上紅色框內有關 CentOS Linux 與安全性的 警告。CentOS 小組不會 驗證認證 任何軟件的安全性。CentOS 小組建立 Red Hat, Inc. 就 RHEL 而發行的源代碼(並作出小量註冊及美工圖的修改)。Red Hat 針對 RHEL 而提供的保證、驗證或認證都不適用於 CentOS Linux。如果你需要獲驗證或認證的軟件,請聯絡 Red Hat

2. 安全性設定檔

在 CentOS 的 Minimal、DVD 及 Everything ISO 映像內的 anaconda 安裝程式內有一個名為 安全性設定檔 的部份。這些安全性設定檔會增設要安裝的套件,亦有可能設定某些背景服務的選項。

這裡 對 RHEL 的安全性設定檔有詳盡的解釋。在該頁你會找到詳盡解釋每個選項的連結。要是你對個別設定檔的用途有不明之處,你可在該頁進行研究。`

CentOS 已經更改了那些設定檔的品牌,並測試安裝能順利完成和建立可用的系統。我們沒有測試適用性。

2.1. 要求

7.7.1908 安裝媒體所包含的安全性設定檔包括有:

Default (no profile selected): 正常的安裝,正常的遠端存取。預設啟用 firewalld 及 sshd。

Standard System Security Profile: 正常的安裝,正常的遠端存取。預設啟用 firewalld 及 sshd。

PCI-DSS v3.2.1 Control Baseline: 遠端 root 登入,本地 root 終端機登入。遠端用戶登入,本地用戶終端機登入。預設啟用 firewalld 及 sshd。

<!> 註:請留意上述設定檔對登入及防火牆的限制。要是某個安全性設定檔禁止 root 遠端登入,請確定你在電腦重新啟動後能存取終端機 而且 你已建立了一個非 root 的用戶,以便你在有需要時能登入並 su 成為 root。

<!> 另外請留意,正如此頁多次強調,不論 CentOS 計劃或 Red Hat 對這些安全性設定檔應用於 CentOS Linux 上均不會提供驗證或認證。它們只為方便用戶而設。如果你需要獲驗證、提供保證、嚴格測試乎合標準,並通過 CVE 安全性審核的軟件,CentOS 並不是這個產品。詳情見 此連結

2.2. 已知問題

先前在 7.3.1611 版 ISO 檔,4 個 STIG 安裝都會建立阻礙 SSHD 啟動的 sshd_config 檔。這是上游的問題(錯誤報告 bz 1401069)。這個問題在 7.4.1708 版 ISO 已獲修正,而所有安裝都能產生正常運作的 SSHD。

CentOS 7.5.1804 安裝程式無法採用 Standard System Security Profile 及 C2S for CentOS Linux 7 安全性設定檔。有一個誤錯導致安裝程式需要 /dev/shm 位於獨立分割區,這是不可能的。RHBZ#1570956

Translation of revision 9


2023-09-11 07:23