CentOS-7 安裝程式安全性設定檔

1. CentOS Linux 與安全性

請參閱以上紅色框內有關 CentOS Linux 與安全性的 警告。CentOS 小組不會 驗證 或 認證 任何軟件的安全性。CentOS 小組建立 Red Hat, Inc. 就 RHEL 而發行的源代碼（並作出小量註冊及美工圖的修改）。Red Hat 針對 RHEL 而提供的保證、驗證或認證都不適用於 CentOS Linux。如果你需要獲驗證或認證的軟件，請聯絡 Red Hat。

2. 安全性設定檔

在 CentOS 的 Minimal、DVD 及 Everything ISO 映像內的 anaconda 安裝程式內有一個名為 安全性設定檔 的部份。這些安全性設定檔會增設要安裝的套件，亦有可能設定某些背景服務的選項。

這裡 對 RHEL 的安全性設定檔有詳盡的解釋。在該頁你會找到詳盡解釋每個選項的連結。要是你對個別設定檔的用途有不明之處，你可在該頁進行研究。`

CentOS 已經更改了那些設定檔的品牌，並測試安裝能順利完成和建立可用的系統。我們沒有測試適用性。

2.1. 要求

7.7.1908 安裝媒體所包含的安全性設定檔包括有：

Default (no profile selected): 正常的安裝，正常的遠端存取。預設啟用 firewalld 及 sshd。

Standard System Security Profile: 正常的安裝，正常的遠端存取。預設啟用 firewalld 及 sshd。

PCI-DSS v3.2.1 Control Baseline: 遠端 root 登入，本地 root 終端機登入。遠端用戶登入，本地用戶終端機登入。預設啟用 firewalld 及 sshd。

註：請留意上述設定檔對登入及防火牆的限制。要是某個安全性設定檔禁止 root 遠端登入，請確定你在電腦重新啟動後能存取終端機 而且 你已建立了一個非 root 的用戶，以便你在有需要時能登入並 su 成為 root。

另外請留意，正如此頁多次強調，不論 CentOS 計劃或 Red Hat 對這些安全性設定檔應用於 CentOS Linux 上均不會提供驗證或認證。它們只為方便用戶而設。如果你需要獲驗證、提供保證、嚴格測試乎合標準，並通過 CVE 安全性審核的軟件，CentOS 並不是這個產品。詳情見 此連結。

2.2. 已知問題

先前在 7.3.1611 版 ISO 檔，4 個 STIG 安裝都會建立阻礙 SSHD 啟動的 sshd_config 檔。這是上游的問題（錯誤報告 bz 1401069）。這個問題在 7.4.1708 版 ISO 已獲修正，而所有安裝都能產生正常運作的 SSHD。

CentOS 7.5.1804 安裝程式無法採用 Standard System Security Profile 及 C2S for CentOS Linux 7 安全性設定檔。有一個誤錯導致安裝程式需要 /dev/shm 位於獨立分割區，這是不可能的。RHBZ#1570956

Translation of revision 9