CentOS-7 安装程式安全性设定档

CentOS 计划 没有 为 CentOS Linux 的安全性提供任何验证、认证、或软件保证。CentOS Linux 安装程式提供的 安全性设定档 是转换自 RHEL 的源代码。要是你所追求的是获认证/验证的软件保证,你大概不应采用 CentOS Linux。

1. CentOS Linux 与安全性

请参阅以上红色框内有关 CentOS Linux 与安全性的 警告。CentOS 小组不会 验证认证 任何软件的安全性。CentOS 小组建立 Red Hat, Inc. 就 RHEL 而发行的源代码(并作出小量注册及美工图的修改)。Red Hat 针对 RHEL 而提供的保证、验证或认证都不适用于 CentOS Linux。如果你需要获验证或认证的软件,请联络 Red Hat

2. 安全性设定档

在 CentOS 的 Minimal、DVD 及 Everything ISO 映像内的 anaconda 安装程式内有一个名为 安全性设定档 的部份。这些安全性设定档会增设要安装的套件,亦有可能设定某些背景服务的选项。

这里 对 RHEL 的安全性设定档有详尽的解释。在该页你会找到详尽解释每个选项的连结。要是你对个别设定档的用途有不明之处,你可在该页进行研究。`

CentOS 已经更改了那些设定档的品牌,并测试安装能顺利完成和建立可用的系统。我们没有测试适用性。

2.1. 要求

旧版的安装程式(7.3.1611)需要互联网连线才能采用安全性设定档,这个需求已取消。现今安全性设定档的套件已附带在安装媒体上,并从该处安装。

7.4.1708 版的安装媒体上有以下安全性设定档:

Default: 一般安装,一般的远端存取。预设启用 firewalld 及 sshd。

Standard System Profile: 一般安装,一般的远端存取。预设启用 firewalld 及 sshd。

PCI-DSS v3 Control Baseline for CentOS Linux 7: 远端 root 登入,本地 root 终端机登入。远端用户登入,本地用户终端机登入。预设启用 firewalld 及 sshd。

C2S for CentOS Linux 7: 禁止 root 从终端机或远端登入。一般用户从终端机及远端登入。预设启用 firewalld 及 sshd。

Red Hat Corporate Profile for Certified Cloud Providers: 防火墙禁止所有远端登入。root 可从终端机登入。要是你没有终端机的存取权,你在电脑重新开机后将会无法登入。

Common Profile for General-Purpose Systems: 一般安装,一般的远端存取。预设启用 firewalld 及 sshd。

DISA STIG for CentOS Linux 7: 防火墙禁止所有远端登入。root 可从终端机登入。要是你没有终端机的存取权,你在电脑重新开机后将会无法登入。

United States Governement Configuration Baseline (USGCB/STIG) - Draft: 防火墙禁止所有远端登入。禁止 root 登入,禁止远端登入。要是你没有终端机的存取权,你在电脑重新开机后将会无法登入。

Criminal Justice Information System (CJIS) Security Policy: 防火墙禁止所有远端登入。root 可从终端机登入。要是你没有终端机的存取权,你在电脑重新开机后将会无法登入。

Standard Docker Host Profile: 一般安装,一般的远端存取。预设启用 firewalld 及 sshd。

Unclassified Information in Non-federal Information Systems and Organizations (NIST 800-171): 防火墙禁止所有远端登入。禁止 root 登入,禁止远端登入。要是你没有终端机的存取权,你在电脑重新开机后将会无法登入。

<!> 注:请留意这些设定档,正如以上详述,有不少利用 firewalld 背景服务禁止远端存取。此外请留意当中不少禁止 root 远端登入,有些甚至禁止从终端机登入。因此当采用安全性设定档时,请确定你在电脑重新启动后能存取终端机 而且 你已建立了一个非 root 的用户,以便你在有需要时能登入并 su 成为 root。

<!> 另外请留意,正如此页多次强调,不论 CentOS 计划或 Red Hat 对这些安全性设定档应用于 CentOS Linux 上均不会提供验证或认证。它们只为方便用户而设。如果你需要获验证、提供保证、严格测试乎合标准,并通过 CVE 安全性审核的软件,CentOS 并不是这个产品。详情见 此连结

2.2. 已知问题

先前在 7.3.1611 版 ISO 档,4 个 STIG 安装都会建立阻碍 SSHD 启动的 sshd_config 档。这是上游的问题(错误报告 bz 1401069)。这个问题在 7.4.1708 版 ISO 已获修正,而所有安装都能产生正常运作的 SSHD。

CentOS 7.5.1804 安装程序不能采用 Standard System Security Profile 及 C2S for CentOS Linux 7 安全性配置文件。有一个误错导致安装程序需要 /dev/shm 位于独立分区,这是不可能的。RHBZ#1570956

Translation of revision 8

zh/TipsAndTricks/C7SecurityProfiles (last edited 2018-05-14 21:46:44 by TimothyLee)