RockyLinux合规性检查（手把手教你部署与执行CIS安全合规审计）

什么是RockyLinux合规性检查？

RockyLinux合规性检查是指通过自动化工具或手动方式，验证系统配置是否符合预定义的安全策略（如CIS基准、PCI-DSS、GDPR等）。其中，CIS基准 是一套由全球安全专家制定的最佳实践配置指南，适用于包括RockyLinux在内的主流操作系统。

准备工作

在开始之前，请确保：

• 你有一台已安装 RockyLinux 8 或 9 的服务器（最小化安装即可）
• 拥有 root 权限或可使用 sudo 的用户
• 系统已联网，可访问互联网以下载必要工具

步骤一：安装 OpenSCAP 工具

OpenSCAP 是一个开源的合规性扫描工具，支持多种安全策略，包括CIS。我们首先安装它：

sudo dnf install -y openscap-scanner scap-security-guide  

步骤二：获取 RockyLinux 的 CIS 基准配置文件

安装完成后，系统会自动包含针对 RockyLinux 的安全策略文件。你可以通过以下命令查看可用的策略：

oscap info /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml  

如果你使用的是 RockyLinux 9，请将 rl8 替换为 rl9。

步骤三：执行合规性扫描

现在，我们可以运行一次完整的CIS基准扫描。以下命令将生成HTML格式的报告，便于查看：

sudo oscap xccdf eval \  --profile xccdf_org.ssgproject.content_profile_cis \  --report /tmp/rockylinux-cis-report.html \  /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml  

扫描完成后，报告将保存在 /tmp/rockylinux-cis-report.html。你可以用浏览器打开它，查看哪些项目合规、哪些不合规。

步骤四：自动修复部分不合规项（可选）

OpenSCAP 还支持自动生成修复脚本。注意：自动修复可能影响系统功能，请在测试环境验证后再用于生产。

sudo oscap xccdf generate fix \  --profile xccdf_org.ssgproject.content_profile_cis \  --fix-type bash \  /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml > /tmp/cis-fix.shchmod +x /tmp/cis-fix.shsudo /tmp/cis-fix.sh  

常见问题与建议

• 为什么有些项目无法自动修复？ 某些安全配置（如密码策略、日志保留时间）需结合业务需求手动调整。
• 如何定期执行合规检查？ 可将扫描命令加入 cron 定时任务，每周自动生成报告。
• 是否支持其他合规标准？ 是的，OpenSCAP 还支持 NIST、PCI-DSS 等，只需更换 profile 即可。

总结

通过本教程，你已经学会了如何在 RockyLinux 上使用 OpenSCAP 执行 RockyLinux合规性检查，并生成详细的 RockyLinux系统审计 报告。这不仅有助于提升 RockyLinux安全配置 水平，还能有效满足各类法规对 RockyLinux CIS基准 的要求。

建议将合规性检查纳入日常运维流程，持续监控系统安全状态。安全无小事，从一次简单的扫描开始，为你的系统筑起第一道防线！