<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="de">
	<id>https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Rocky_Sicherheitsprofile</id>
	<title>Rocky Sicherheitsprofile - Versionsgeschichte</title>
	<link rel="self" type="application/atom+xml" href="https://wiki.ixheim.de/index.php?action=history&amp;feed=atom&amp;title=Rocky_Sicherheitsprofile"/>
	<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Rocky_Sicherheitsprofile&amp;action=history"/>
	<updated>2026-07-10T10:17:48Z</updated>
	<subtitle>Versionsgeschichte dieser Seite in Xinux Wiki</subtitle>
	<generator>MediaWiki 1.35.1</generator>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Rocky_Sicherheitsprofile&amp;diff=71856&amp;oldid=prev</id>
		<title>Thomas.will am 7. Juli 2026 um 11:58 Uhr</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Rocky_Sicherheitsprofile&amp;diff=71856&amp;oldid=prev"/>
		<updated>2026-07-07T11:58:35Z</updated>

		<summary type="html">&lt;p&gt;&lt;/p&gt;
&lt;table class=&quot;diff diff-contentalign-left diff-editfont-monospace&quot; data-mw=&quot;interface&quot;&gt;
				&lt;col class=&quot;diff-marker&quot; /&gt;
				&lt;col class=&quot;diff-content&quot; /&gt;
				&lt;col class=&quot;diff-marker&quot; /&gt;
				&lt;col class=&quot;diff-content&quot; /&gt;
				&lt;tr class=&quot;diff-title&quot; lang=&quot;de&quot;&gt;
				&lt;td colspan=&quot;2&quot; style=&quot;background-color: #fff; color: #202122; text-align: center;&quot;&gt;← Nächstältere Version&lt;/td&gt;
				&lt;td colspan=&quot;2&quot; style=&quot;background-color: #fff; color: #202122; text-align: center;&quot;&gt;Version vom 7. Juli 2026, 11:58 Uhr&lt;/td&gt;
				&lt;/tr&gt;&lt;tr&gt;&lt;td colspan=&quot;2&quot; class=&quot;diff-lineno&quot; id=&quot;mw-diff-left-l1&quot; &gt;Zeile 1:&lt;/td&gt;
&lt;td colspan=&quot;2&quot; class=&quot;diff-lineno&quot;&gt;Zeile 1:&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt;−&lt;/td&gt;&lt;td style=&quot;color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;== CIS Security Policy bei der Rocky-Linux-Installation ==&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt;+&lt;/td&gt;&lt;td style=&quot;color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;&lt;ins class=&quot;diffchange diffchange-inline&quot;&gt;=&lt;/ins&gt;== CIS Security Policy bei der Rocky-Linux-Installation &lt;ins class=&quot;diffchange diffchange-inline&quot;&gt;=&lt;/ins&gt;==&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket &amp;lt;code&amp;gt;scap-security-guide&amp;lt;/code&amp;gt;.&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket &amp;lt;code&amp;gt;scap-security-guide&amp;lt;/code&amp;gt;.&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;

&lt;!-- diff cache key my_wiki:diff::1.12:old-71855:rev-71856 --&gt;
&lt;/table&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
	<entry>
		<id>https://wiki.ixheim.de/index.php?title=Rocky_Sicherheitsprofile&amp;diff=71855&amp;oldid=prev</id>
		<title>Thomas.will: Die Seite wurde neu angelegt: „== CIS Security Policy bei der Rocky-Linux-Installation ==  Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtung…“</title>
		<link rel="alternate" type="text/html" href="https://wiki.ixheim.de/index.php?title=Rocky_Sicherheitsprofile&amp;diff=71855&amp;oldid=prev"/>
		<updated>2026-07-07T11:58:23Z</updated>

		<summary type="html">&lt;p&gt;Die Seite wurde neu angelegt: „== CIS Security Policy bei der Rocky-Linux-Installation ==  Rocky Linux bietet im Anaconda-Installer unter &amp;#039;&amp;#039;&amp;#039;SECURITY POLICY&amp;#039;&amp;#039;&amp;#039; die Möglichkeit, CIS-Härtung…“&lt;/p&gt;
&lt;p&gt;&lt;b&gt;Neue Seite&lt;/b&gt;&lt;/p&gt;&lt;div&gt;== CIS Security Policy bei der Rocky-Linux-Installation ==&lt;br /&gt;
&lt;br /&gt;
Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket &amp;lt;code&amp;gt;scap-security-guide&amp;lt;/code&amp;gt;.&lt;br /&gt;
&lt;br /&gt;
=== Verfügbare CIS-Profile ===&lt;br /&gt;
&lt;br /&gt;
* &amp;lt;code&amp;gt;xccdf_org.ssgproject.content_profile_cis&amp;lt;/code&amp;gt; – CIS Level 1 – Server&lt;br /&gt;
* &amp;lt;code&amp;gt;xccdf_org.ssgproject.content_profile_cis_server_l2&amp;lt;/code&amp;gt; – CIS Level 2 – Server&lt;br /&gt;
* &amp;lt;code&amp;gt;xccdf_org.ssgproject.content_profile_cis_workstation_l1&amp;lt;/code&amp;gt; – CIS Level 1 – Workstation&lt;br /&gt;
* &amp;lt;code&amp;gt;xccdf_org.ssgproject.content_profile_cis_workstation_l2&amp;lt;/code&amp;gt; – CIS Level 2 – Workstation&lt;br /&gt;
&lt;br /&gt;
'''Level 1''' = Baseline, praxistauglich, geringe Funktionseinschränkung.&lt;br /&gt;
'''Level 2''' = &amp;quot;Defense in depth&amp;quot;, deutlich restriktiver – hier treten die meisten Kompatibilitätsprobleme auf.&lt;br /&gt;
&lt;br /&gt;
=== Was CIS Level 1 (Server) konkret setzt ===&lt;br /&gt;
&lt;br /&gt;
* Erzwungenes Partitionsschema: separate &amp;lt;code&amp;gt;/tmp&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;/var&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;/var/tmp&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;/var/log&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;/var/log/audit&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;/home&amp;lt;/code&amp;gt; – &amp;lt;code&amp;gt;/tmp&amp;lt;/code&amp;gt; zusätzlich mit &amp;lt;code&amp;gt;nodev,nosuid,noexec&amp;lt;/code&amp;gt;&lt;br /&gt;
* Deaktivierung nicht benötigter Filesystem-Kernel-Module (&amp;lt;code&amp;gt;cramfs&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;freevxfs&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;squashfs&amp;lt;/code&amp;gt; u. a.)&lt;br /&gt;
* Aktivierung von &amp;lt;code&amp;gt;auditd&amp;lt;/code&amp;gt; mit CIS-konformem Regelsatz (Login/Logout, &amp;lt;code&amp;gt;sudo&amp;lt;/code&amp;gt;-Nutzung, Änderungen an &amp;lt;code&amp;gt;/etc/passwd&amp;lt;/code&amp;gt;, Zeitänderungen)&lt;br /&gt;
* Passwort-Policy via &amp;lt;code&amp;gt;pwquality&amp;lt;/code&amp;gt;: Mindestlänge 14, Komplexität erzwungen, Wiederholungssperre&lt;br /&gt;
* SSH-Härtung: &amp;lt;code&amp;gt;PermitRootLogin no&amp;lt;/code&amp;gt;, restriktive &amp;lt;code&amp;gt;Ciphers&amp;lt;/code&amp;gt;/&amp;lt;code&amp;gt;MACs&amp;lt;/code&amp;gt;, begrenzte &amp;lt;code&amp;gt;MaxAuthTries&amp;lt;/code&amp;gt;&lt;br /&gt;
* Deaktivierung unsicherer Dienste, falls installiert (&amp;lt;code&amp;gt;telnet&amp;lt;/code&amp;gt;, &amp;lt;code&amp;gt;rsh&amp;lt;/code&amp;gt;, teils &amp;lt;code&amp;gt;nfs&amp;lt;/code&amp;gt;)&lt;br /&gt;
* &amp;lt;code&amp;gt;firewalld&amp;lt;/code&amp;gt; muss aktiv sein (Voraussetzung, wird nicht automatisch installiert)&lt;br /&gt;
&lt;br /&gt;
=== Was CIS Level 2 zusätzlich macht ===&lt;br /&gt;
&lt;br /&gt;
* Weitere Kernel-Module deaktiviert, teils auch Netzwerktreiber-relevante Module&lt;br /&gt;
* USB-Storage komplett blockiert (Modul-Blacklist für &amp;lt;code&amp;gt;usb-storage&amp;lt;/code&amp;gt;)&lt;br /&gt;
* Deutlich aggressivere Audit-Regeln → hohes Log-Volumen&lt;br /&gt;
&lt;br /&gt;
=== Typische Fehler im Kursumfeld (VirtualBox / it2XX-Setup) ===&lt;br /&gt;
&lt;br /&gt;
* '''Partitionierungskonflikt''' – CIS erzwingt ein eigenes Partitionsschema, das mit einem manuell geplanten Schema (z. B. ext4 ohne LVM vs. XFS+LVM) kollidiert&lt;br /&gt;
* '''SSH-Verbindungsabbruch''' – restriktive Cipher-/MAC-Liste, ältere Clients (z. B. veraltete PuTTY-Versionen) scheitern am Verbindungsaufbau&lt;br /&gt;
* '''&amp;lt;code&amp;gt;/var/log/audit&amp;lt;/code&amp;gt; läuft voll''' – bei knapp bemessener VM-Disk füllt sich die Audit-Partition schnell; je nach &amp;lt;code&amp;gt;space_left_action&amp;lt;/code&amp;gt; in &amp;lt;code&amp;gt;auditd.conf&amp;lt;/code&amp;gt; kann das System sogar anhalten&lt;br /&gt;
* '''&amp;lt;code&amp;gt;dnf&amp;lt;/code&amp;gt;-Installationen brechen ab''' – bei aktivierten FIPS-nahen Vorgaben oder Paket-Signaturpflicht, relevant bei späterer Nachinstallation (z. B. Wazuh-Agent, Ansible-Rollen)&lt;br /&gt;
&lt;br /&gt;
=== Empfehlungen ===&lt;br /&gt;
&lt;br /&gt;
* Im Grundkurs (ns/www/ldap/client/fw) '''kein CIS-Profil aktivieren''' – manuelle Partitionierung bleibt didaktisch sauber und kollisionsfrei&lt;br /&gt;
* Falls CIS als eigenständiges Compliance-Thema behandelt werden soll: separate VM verwenden, nur '''Level 1 – Server''', nicht Level 2&lt;br /&gt;
* &amp;lt;code&amp;gt;/var/log/audit&amp;lt;/code&amp;gt; bei aktiviertem Profil auf ein eigenes, ausreichend großes LV legen (mind. 2–4 GB)&lt;br /&gt;
* Nach der Installation Compliance gezielt prüfen:&lt;br /&gt;
&lt;br /&gt;
&amp;lt;syntaxhighlight lang=&amp;quot;bash&amp;quot;&amp;gt;&lt;br /&gt;
oscap xccdf eval \&lt;br /&gt;
  --profile xccdf_org.ssgproject.content_profile_cis \&lt;br /&gt;
  --results /root/cis-results-it2XX.xml \&lt;br /&gt;
  --report /root/cis-report-it2XX.html \&lt;br /&gt;
  /usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml&lt;br /&gt;
&amp;lt;/syntaxhighlight&amp;gt;&lt;br /&gt;
&lt;br /&gt;
* Bei SSH-Problemen nach Profilanwendung &amp;lt;code&amp;gt;sshd_config&amp;lt;/code&amp;gt; gegenprüfen und Cipher-/MAC-Zeile bei Bedarf gezielt lockern (mit dem Hinweis, dass dies die Compliance bricht)&lt;br /&gt;
&lt;br /&gt;
=== Merksatz ===&lt;br /&gt;
&lt;br /&gt;
'''CIS-Profil = automatisierte Härtung zur Installationszeit → verändert Partitionierung, Passwortregeln, Dienste und Audit-Konfiguration. Level 1 = praxistauglich, Level 2 = restriktiv mit Kollisionsrisiko. Nicht mit manueller Partitionierung kombinieren, wenn diese Kursinhalt ist.'''&lt;/div&gt;</summary>
		<author><name>Thomas.will</name></author>
	</entry>
</feed>