Rocky Sicherheitsprofile: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== CIS Security Policy bei der Rocky-Linux-Installation == Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtung…“)
 
 
Zeile 1: Zeile 1:
== CIS Security Policy bei der Rocky-Linux-Installation ==
+
=== CIS Security Policy bei der Rocky-Linux-Installation ===
  
 
Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket <code>scap-security-guide</code>.
 
Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket <code>scap-security-guide</code>.

Aktuelle Version vom 7. Juli 2026, 11:58 Uhr

CIS Security Policy bei der Rocky-Linux-Installation

Rocky Linux bietet im Anaconda-Installer unter SECURITY POLICY die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket scap-security-guide.

Verfügbare CIS-Profile

  • xccdf_org.ssgproject.content_profile_cis – CIS Level 1 – Server
  • xccdf_org.ssgproject.content_profile_cis_server_l2 – CIS Level 2 – Server
  • xccdf_org.ssgproject.content_profile_cis_workstation_l1 – CIS Level 1 – Workstation
  • xccdf_org.ssgproject.content_profile_cis_workstation_l2 – CIS Level 2 – Workstation

Level 1 = Baseline, praxistauglich, geringe Funktionseinschränkung. Level 2 = "Defense in depth", deutlich restriktiver – hier treten die meisten Kompatibilitätsprobleme auf.

Was CIS Level 1 (Server) konkret setzt

  • Erzwungenes Partitionsschema: separate /tmp, /var, /var/tmp, /var/log, /var/log/audit, /home/tmp zusätzlich mit nodev,nosuid,noexec
  • Deaktivierung nicht benötigter Filesystem-Kernel-Module (cramfs, freevxfs, squashfs u. a.)
  • Aktivierung von auditd mit CIS-konformem Regelsatz (Login/Logout, sudo-Nutzung, Änderungen an /etc/passwd, Zeitänderungen)
  • Passwort-Policy via pwquality: Mindestlänge 14, Komplexität erzwungen, Wiederholungssperre
  • SSH-Härtung: PermitRootLogin no, restriktive Ciphers/MACs, begrenzte MaxAuthTries
  • Deaktivierung unsicherer Dienste, falls installiert (telnet, rsh, teils nfs)
  • firewalld muss aktiv sein (Voraussetzung, wird nicht automatisch installiert)

Was CIS Level 2 zusätzlich macht

  • Weitere Kernel-Module deaktiviert, teils auch Netzwerktreiber-relevante Module
  • USB-Storage komplett blockiert (Modul-Blacklist für usb-storage)
  • Deutlich aggressivere Audit-Regeln → hohes Log-Volumen

Typische Fehler im Kursumfeld (VirtualBox / it2XX-Setup)

  • Partitionierungskonflikt – CIS erzwingt ein eigenes Partitionsschema, das mit einem manuell geplanten Schema (z. B. ext4 ohne LVM vs. XFS+LVM) kollidiert
  • SSH-Verbindungsabbruch – restriktive Cipher-/MAC-Liste, ältere Clients (z. B. veraltete PuTTY-Versionen) scheitern am Verbindungsaufbau
  • /var/log/audit läuft voll – bei knapp bemessener VM-Disk füllt sich die Audit-Partition schnell; je nach space_left_action in auditd.conf kann das System sogar anhalten
  • dnf-Installationen brechen ab – bei aktivierten FIPS-nahen Vorgaben oder Paket-Signaturpflicht, relevant bei späterer Nachinstallation (z. B. Wazuh-Agent, Ansible-Rollen)

Empfehlungen

  • Im Grundkurs (ns/www/ldap/client/fw) kein CIS-Profil aktivieren – manuelle Partitionierung bleibt didaktisch sauber und kollisionsfrei
  • Falls CIS als eigenständiges Compliance-Thema behandelt werden soll: separate VM verwenden, nur Level 1 – Server, nicht Level 2
  • /var/log/audit bei aktiviertem Profil auf ein eigenes, ausreichend großes LV legen (mind. 2–4 GB)
  • Nach der Installation Compliance gezielt prüfen:
oscap xccdf eval \
  --profile xccdf_org.ssgproject.content_profile_cis \
  --results /root/cis-results-it2XX.xml \
  --report /root/cis-report-it2XX.html \
  /usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml
  • Bei SSH-Problemen nach Profilanwendung sshd_config gegenprüfen und Cipher-/MAC-Zeile bei Bedarf gezielt lockern (mit dem Hinweis, dass dies die Compliance bricht)

Merksatz

CIS-Profil = automatisierte Härtung zur Installationszeit → verändert Partitionierung, Passwortregeln, Dienste und Audit-Konfiguration. Level 1 = praxistauglich, Level 2 = restriktiv mit Kollisionsrisiko. Nicht mit manueller Partitionierung kombinieren, wenn diese Kursinhalt ist.