Rocky Sicherheitsprofile
Version vom 7. Juli 2026, 11:58 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== CIS Security Policy bei der Rocky-Linux-Installation == Rocky Linux bietet im Anaconda-Installer unter '''SECURITY POLICY''' die Möglichkeit, CIS-Härtung…“)
CIS Security Policy bei der Rocky-Linux-Installation
Rocky Linux bietet im Anaconda-Installer unter SECURITY POLICY die Möglichkeit, CIS-Härtungsprofile (Center for Internet Security) direkt während der Installation via OpenSCAP anzuwenden. Die Profile stammen aus dem Paket scap-security-guide.
Verfügbare CIS-Profile
xccdf_org.ssgproject.content_profile_cis– CIS Level 1 – Serverxccdf_org.ssgproject.content_profile_cis_server_l2– CIS Level 2 – Serverxccdf_org.ssgproject.content_profile_cis_workstation_l1– CIS Level 1 – Workstationxccdf_org.ssgproject.content_profile_cis_workstation_l2– CIS Level 2 – Workstation
Level 1 = Baseline, praxistauglich, geringe Funktionseinschränkung. Level 2 = "Defense in depth", deutlich restriktiver – hier treten die meisten Kompatibilitätsprobleme auf.
Was CIS Level 1 (Server) konkret setzt
- Erzwungenes Partitionsschema: separate
/tmp,/var,/var/tmp,/var/log,/var/log/audit,/home–/tmpzusätzlich mitnodev,nosuid,noexec - Deaktivierung nicht benötigter Filesystem-Kernel-Module (
cramfs,freevxfs,squashfsu. a.) - Aktivierung von
auditdmit CIS-konformem Regelsatz (Login/Logout,sudo-Nutzung, Änderungen an/etc/passwd, Zeitänderungen) - Passwort-Policy via
pwquality: Mindestlänge 14, Komplexität erzwungen, Wiederholungssperre - SSH-Härtung:
PermitRootLogin no, restriktiveCiphers/MACs, begrenzteMaxAuthTries - Deaktivierung unsicherer Dienste, falls installiert (
telnet,rsh, teilsnfs) firewalldmuss aktiv sein (Voraussetzung, wird nicht automatisch installiert)
Was CIS Level 2 zusätzlich macht
- Weitere Kernel-Module deaktiviert, teils auch Netzwerktreiber-relevante Module
- USB-Storage komplett blockiert (Modul-Blacklist für
usb-storage) - Deutlich aggressivere Audit-Regeln → hohes Log-Volumen
Typische Fehler im Kursumfeld (VirtualBox / it2XX-Setup)
- Partitionierungskonflikt – CIS erzwingt ein eigenes Partitionsschema, das mit einem manuell geplanten Schema (z. B. ext4 ohne LVM vs. XFS+LVM) kollidiert
- SSH-Verbindungsabbruch – restriktive Cipher-/MAC-Liste, ältere Clients (z. B. veraltete PuTTY-Versionen) scheitern am Verbindungsaufbau
/var/log/auditläuft voll – bei knapp bemessener VM-Disk füllt sich die Audit-Partition schnell; je nachspace_left_actioninauditd.confkann das System sogar anhaltendnf-Installationen brechen ab – bei aktivierten FIPS-nahen Vorgaben oder Paket-Signaturpflicht, relevant bei späterer Nachinstallation (z. B. Wazuh-Agent, Ansible-Rollen)
Empfehlungen
- Im Grundkurs (ns/www/ldap/client/fw) kein CIS-Profil aktivieren – manuelle Partitionierung bleibt didaktisch sauber und kollisionsfrei
- Falls CIS als eigenständiges Compliance-Thema behandelt werden soll: separate VM verwenden, nur Level 1 – Server, nicht Level 2
/var/log/auditbei aktiviertem Profil auf ein eigenes, ausreichend großes LV legen (mind. 2–4 GB)- Nach der Installation Compliance gezielt prüfen:
oscap xccdf eval \
--profile xccdf_org.ssgproject.content_profile_cis \
--results /root/cis-results-it2XX.xml \
--report /root/cis-report-it2XX.html \
/usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml
- Bei SSH-Problemen nach Profilanwendung
sshd_configgegenprüfen und Cipher-/MAC-Zeile bei Bedarf gezielt lockern (mit dem Hinweis, dass dies die Compliance bricht)
Merksatz
CIS-Profil = automatisierte Härtung zur Installationszeit → verändert Partitionierung, Passwortregeln, Dienste und Audit-Konfiguration. Level 1 = praxistauglich, Level 2 = restriktiv mit Kollisionsrisiko. Nicht mit manueller Partitionierung kombinieren, wenn diese Kursinhalt ist.