CentOS-7 安装程式安全性设定档
|
CentOS 计划 没有 为 CentOS Linux 的安全性提供任何验证、认证、或软件保证。CentOS Linux 安装程式提供的 安全性设定档 是转换自 RHEL 的源代码。要是你所追求的是获认证/验证的软件保证,你大概不应采用 CentOS Linux。 |
Contents
1. CentOS Linux 与安全性
请参阅以上红色框内有关 CentOS Linux 与安全性的 警告。CentOS 小组不会 验证 或 认证 任何软件的安全性。CentOS 小组建立 Red Hat, Inc. 就 RHEL 而发行的源代码(并作出小量注册及美工图的修改)。Red Hat 针对 RHEL 而提供的保证、验证或认证都不适用于 CentOS Linux。如果你需要获验证或认证的软件,请联络 Red Hat。
2. 安全性设定档
在 CentOS 的 Minimal、DVD 及 Everything ISO 映像内的 anaconda 安装程式内有一个名为 安全性设定档 的部份。这些安全性设定档会增设要安装的套件,亦有可能设定某些背景服务的选项。
这里 对 RHEL 的安全性设定档有详尽的解释。在该页你会找到详尽解释每个选项的连结。要是你对个别设定档的用途有不明之处,你可在该页进行研究。`
CentOS 已经更改了那些设定档的品牌,并测试安装能顺利完成和建立可用的系统。我们没有测试适用性。
2.1. 要求
7.7.1908 安装媒体所包含的安全性配置文件包括有:
Default (no profile selected): 正常的安装,正常的远程访问。缺省启用 firewalld 及 sshd。
Standard System Security Profile: 正常的安装,正常的远程访问。缺省启用 firewalld 及 sshd。
PCI-DSS v3.2.1 Control Baseline: 远程 root 登录,本地 root 终端機登录。远程用户登录,本地用户终端機登录。缺省启用 firewalld 及 sshd。
注:请留意上述配置文件对登录及防火墙的限制。要是某个安全性配置文件禁止 root 远程登录,请确定你在计算机重新引导后能访问终端機 而且 你已创建了一个非 root 的用户,以便你在有需要时能登录并 su 成为 root。
另外请留意,正如此页多次强调,不论 CentOS 计划或 Red Hat 对这些安全性设定档应用于 CentOS Linux 上均不会提供验证或认证。它们只为方便用户而设。如果你需要获验证、提供保证、严格测试乎合标准,并通过 CVE 安全性审核的软件,CentOS 并不是这个产品。详情见 此连结。
2.2. 已知问题
先前在 7.3.1611 版 ISO 档,4 个 STIG 安装都会建立阻碍 SSHD 启动的 sshd_config 档。这是上游的问题(错误报告 bz 1401069)。这个问题在 7.4.1708 版 ISO 已获修正,而所有安装都能产生正常运作的 SSHD。
CentOS 7.5.1804 安装程序不能采用 Standard System Security Profile 及 C2S for CentOS Linux 7 安全性配置文件。有一个误错导致安装程序需要 /dev/shm 位于独立分区,这是不可能的。RHBZ#1570956
Translation of revision 9