DISA(Defense Information Systems Agency)에서 발행한 Red Hat 6(v1r2) STIG(보안 기술 구현 가이드)를 사용하여 구성해야 하는 시스템을 배포하고 있습니다. 웹 사이트 링크.
저는 Google을 통해 찾은 다른 KS 파일을 기반으로 많은 설정을 자동화하기 위해 Kickstart 파일 개발을 시작했습니다.
제안 사항, 추가 도구 또는 기타 유용한 리소스가 있는 사람이 있습니까?
나는 아니에요필요Kickstart를 사용하는 것이 시작하는 가장 쉬운 방법인 것 같습니다. Ansible 플레이북, 기본 셸 스크립트 등 모든 리소스를 찾고 있습니다.
답변1
RedHatGov 조직(Red Hat, Inc.의 정부 직원)이 GitHub에서 진행하는 프로젝트에 대해 아직 "베타" 상태일 수 있는 일부 스크립트가 있습니다.
그들의 프로젝트는 완전하지 않거나 보편적으로 적용 가능하지는 않지만 좋은 시작이므로 이러한 프로젝트에 대해 포크하고, 기여하고, 끌어오기 요청을 할 계획입니다.
Red Hat의 Frank Cavvigia는 또한 Aqueduct와 같은 다른 프로젝트의 코드를 포크하여 이 스크립트를 공개했습니다. 이 스크립트는 DISA STIG 준수를 위한 많은 설정 및 요구 사항을 포함하도록 RHEL 6.4 .iso를 수정합니다. 그러면 많은 호환성 옵션을 사용하여 처음부터 시스템을 설치하는 데 사용할 수 있는 새로운 .ISO가 생성됩니다.
http://people.redhat.com/fcaviggi/stig-fix/
저는 이 스크립트를 CentOS 6.5에서 약간 수정하여 테스트했으며 어느 정도 성공했습니다. 언젠가 정리가 완료되면 발견 사항/변경 사항을 문서화하고 공유할 것입니다.
답변2
이것은 RHEL 5에 맞게 조정된 Aqueduct, USGCB 등의 스크립트와 같은 다음 프로젝트에서 통합된 "최선의 노력"으로 전환한 코드입니다. 모두 RHEL 6에서 작동하도록 하기 위해 많은 수정을 해야 했습니다. 그런 의미에서 그것은 포크입니다. 어쨌든 stig-fix-el6 프로젝트의 추가 정보에 나열된 프로젝트의 코드를 병합하고 통합했습니다.
https://github.com/RedHatGov/stig-fix-el6/blob/master/README
결국 RHEL 7이 SCAP 보안 가이드(SSG)의 수정 스크립트를 Anaconda에 통합함에 따라 이 코드는 더 이상 사용되지 않습니다.
http://myopensourcelife.com/2013/09/08/scap-and-remediation/
스크립트를 RHEL 7의 시작 부분으로 축소하고 그 시점에 설치 시 강화된 구성을 배포할 계획입니다.
답변3
저는 anaconda API를 통해 킥스타트 자동화 문제를 해결하는 여러 프로젝트를 가지고 있습니다.jaks (또 다른 시작 스크립트)그리고스티가담이 프로젝트는 개발 초기 단계에 있으며 UNIX/Linux 운영 체제에 대한 표준 OSS SCAP/STIG 검증 및 복구 프로젝트가 되는 것을 목표로 합니다.
답변4
이 Ansible 역할은 정확히 원하는 작업을 수행합니다. 먼저 캐릭터를 컴퓨터에 다운로드하세요.
# ansible-galaxy install https://github.com/MindPointGroup/RHEL6-STIG,devel
그런 다음 Harden.yml이라는 작은 스크립트를 만듭니다.
---
hosts: 127.0.0.1
roles:
- { role: RHEL6-STIG,
rhel6stig_cat1: true,
rhel6stig_cat2: true,
rhel6stig_cat3: true }
그런 다음 역할을 적용합니다.
# ansible-playbook harden.yml