CentOS-7 安装程式安全性设定档

1. CentOS Linux 与安全性

请参阅以上红色框内有关 CentOS Linux 与安全性的 警告。CentOS 小组不会 验证 或 认证 任何软件的安全性。CentOS 小组建立 Red Hat, Inc. 就 RHEL 而发行的源代码（并作出小量注册及美工图的修改）。Red Hat 针对 RHEL 而提供的保证、验证或认证都不适用于 CentOS Linux。如果你需要获验证或认证的软件，请联络 Red Hat。

2. 安全性设定档

在 CentOS 的 Minimal、DVD 及 Everything ISO 映像内的 anaconda 安装程式内有一个名为 安全性设定档 的部份。这些安全性设定档会增设要安装的套件，亦有可能设定某些背景服务的选项。

这里 对 RHEL 的安全性设定档有详尽的解释。在该页你会找到详尽解释每个选项的连结。要是你对个别设定档的用途有不明之处，你可在该页进行研究。`

CentOS 已经更改了那些设定档的品牌，并测试安装能顺利完成和建立可用的系统。我们没有测试适用性。

2.1. 要求

7.7.1908 安装媒体所包含的安全性配置文件包括有：

Default (no profile selected): 正常的安装，正常的远程访问。缺省启用 firewalld 及 sshd。

Standard System Security Profile: 正常的安装，正常的远程访问。缺省启用 firewalld 及 sshd。

PCI-DSS v3.2.1 Control Baseline: 远程 root 登录，本地 root 终端機登录。远程用户登录，本地用户终端機登录。缺省启用 firewalld 及 sshd。

注：请留意上述配置文件对登录及防火墙的限制。要是某个安全性配置文件禁止 root 远程登录，请确定你在计算机重新引导后能访问终端機 而且 你已创建了一个非 root 的用户，以便你在有需要时能登录并 su 成为 root。

另外请留意，正如此页多次强调，不论 CentOS 计划或 Red Hat 对这些安全性设定档应用于 CentOS Linux 上均不会提供验证或认证。它们只为方便用户而设。如果你需要获验证、提供保证、严格测试乎合标准，并通过 CVE 安全性审核的软件，CentOS 并不是这个产品。详情见 此连结。

2.2. 已知问题

先前在 7.3.1611 版 ISO 档，4 个 STIG 安装都会建立阻碍 SSHD 启动的 sshd_config 档。这是上游的问题（错误报告 bz 1401069）。这个问题在 7.4.1708 版 ISO 已获修正，而所有安装都能产生正常运作的 SSHD。

CentOS 7.5.1804 安装程序不能采用 Standard System Security Profile 及 C2S for CentOS Linux 7 安全性配置文件。有一个误错导致安装程序需要 /dev/shm 位于独立分区，这是不可能的。RHBZ#1570956

Translation of revision 9