RockyLinux集群合规性配置（从零开始构建安全合规的RockyLinux集群环境）

一、什么是合规性配置？

合规性配置是指按照特定的安全基线（如CIS Benchmark）对操作系统进行加固，包括关闭不必要的服务、设置强密码策略、启用审计日志、限制用户权限等。对于RockyLinux安全加固而言，这不仅能防范外部攻击，还能满足审计要求。

二、准备工作

假设你已有一组RockyLinux 9服务器组成的集群（至少2台），并具备root或sudo权限。以下操作需在每台节点上执行。

三、安装并运行OpenSCAP进行合规扫描

OpenSCAP 是一个开源工具，用于自动化安全合规评估。RockyLinux官方仓库已包含该工具。

# 安装 OpenSCAP 及 CIS 基线配置文件sudo dnf install -y openscap-scanner scap-security-guide# 查看可用的安全策略（以 CIS 为例）oscap info /usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml | grep -A5 "CIS"# 执行一次合规性扫描（dry-run，仅评估不修复）sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --report /tmp/rocky9-cis-report.html \  /usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml

执行完成后，打开 /tmp/rocky9-cis-report.html 即可查看详细的合规报告。

四、自动修复不合规项（谨慎操作）

OpenSCAP 支持自动生成修复脚本。建议先在测试环境验证，再应用于生产集群。

# 生成修复脚本（bash格式）sudo oscap xccdf generate fix \  --profile xccdf_org.ssgproject.content_profile_cis \  --fix-type bash \  --output /tmp/cis-fix.sh \  /usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml# 查看脚本内容（务必人工审核！）cat /tmp/cis-fix.sh# 执行修复（确认无误后）sudo bash /tmp/cis-fix.sh

⚠️ 注意：自动修复可能影响服务运行，请在维护窗口操作，并提前备份关键配置。

五、关键手动加固项（推荐补充）

即使使用自动化工具，以下几项仍建议手动检查：

• SSH 安全配置：禁用 root 登录、使用密钥认证、修改默认端口。
• 防火墙规则：仅开放必要端口（如 22、集群通信端口）。
• 日志集中管理：配置 rsyslog 或 journald 将日志发送至中央日志服务器。
• 定期更新：启用自动安全更新（dnf-automatic）。

六、定期执行系统合规检查

建议将合规扫描加入定时任务，例如每周日凌晨2点执行：

# 编辑 crontabsudo crontab -e# 添加以下行0 2 * * 0 /usr/bin/oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --results-arf /var/log/compliance/$(date +\%Y\%m\%d)-arf.xml \  --report /var/log/compliance/$(date +\%Y\%m\%d)-report.html \  /usr/share/xml/scap/ssg/content/ssg-rl9-ds.xml

通过以上步骤，你的 RockyLinux集群 将具备坚实的安全基线，满足企业对 系统合规检查 的基本要求。

结语

合规不是一次性任务，而是持续的过程。结合自动化工具与人工审查，才能真正构建安全可靠的集群环境。希望本教程能帮助你顺利完成 RockyLinux安全加固 工作！