Назад | Перейти на главную страницу

Как мне заставить надстройку Anaconda SCAP разрешить мне использовать USB-клавиатуру?

Эта проблема

Я создаю установочный образ RHEL 7.3 с помощью специального файла кикстарта.

Я могу добавить это в свой файл кикстарта, чтобы включить конфигурацию SCAP во время установки:

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
%end

Однако когда я это делаю, я получаю nousb в моей командной строке ядра, которая отключает все интерфейсы USB, включая клавиатуру и мышь.

(Я делал то же самое раньше с образом RHEL 7.2, и он «просто работает», поэтому я знаю, что базовый подход является правильным. Но он использует более старый и, по-видимому, менее полный профиль безопасности.)

Теперь я полностью понимаю, почему: есть правило, которое специально устанавливает это. Мне нужно «настроить» правила, чтобы инструмент SCAP не отключал все мои USB-устройства.

Что я понял до сих пор

В соответствии с Документация по кикстарту Red Hat и сайт OSCAP Anaconda, Я могу приостановить действие этого правила, предоставив свой собственный файл адаптации:

tailoring-path - Путь к файлу адаптации, который следует использовать, заданный как относительный путь в архиве.

Итак, я запускаю scap-workbench, отключаю затронутое правило и сохраняю свои изменения как файл tailoring.xml.

Затем я могу добавить строку в конфигурацию кикстарта, например:

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end

Основываясь на методе проб и ошибок, я также пришел к выводу, что файл tailoring.xml должен быть помещен в / root / openscap_data (абсолютные пути абсолютно не работают - во время установки вы получите заметное приглашение отладки, останавливающее показ).

Что я не могу понять

Даже после создания файла настройки я все еще получаю ядро ​​с nousb когда я делаю новую установку.

Если вы добавите tailoring-path, вероятно, вам нужно обновить profile линия

Определение tailoring-path не вводит никаких новых правил автоматически, а просто добавляет еще один источник в иерархию поиска. Чтобы действительно использовать это, вам нужно вызвать "индивидуальный" профиль по имени, вместо исходного профиля, например:

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end

Индивидуальное имя профиля - это имя, которое Scap Workbench предлагает вам создать при сохранении. "Полная форма" приемлема; вы можете просто открыть файл пошива в текстовом редакторе и скопировать его напрямую.

На основе это сообщение в блоге OpenShift, вам необходимо установить некоторые пакеты, чтобы журнал openSCAP был в системном журнале:

yum install html2text util-linux-ng

Что касается решения проблемы, упомянутая вами проверка в основном выполняет следующие действия:

  sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\1\"\2 nousb\"/" /etc/default/grub
bootloader
  /sbin/grubby --update-kernel=ALL --args="nousb"

Таким образом, вы можете отменить действия этого конкретного правила, удалив nousb из параметров grub по умолчанию.

Однако я не могу найти ничего о том, почему ваш пошив не работает. Эта почта однако, похоже, сообщает о подобной проблеме с вашей, и этот раствор RH - если у вас есть доступ - может быть полезно (у меня нет учетной записи для просмотра самого решения, но его название - «Поддержка адаптации OpenSCAP в Satellite 6»).

Официальное руководство OpenSCAP по настройке предлагает вам сохранить настройки рабочего места с помощью:

Файл → Сохранить только настройку.

Также следует отметить одну небольшую вещь (от http://static.open-scap.org/scap-workbench-1.1/#_load_a_ready_made_customization_xccdf_tailoring_file_optional):

Только XCCDF 1.2 официально поддерживает адаптацию. Проект OpenSCAP имеет расширение, которое позволяет настраивать файлы для использования с XCCDF 1.1, поэтому SCAP Workbench также поддерживает это. Подробности выходят за рамки этого документа, но имейте в виду, что настройка файла XCCDF 1.1 может не работать с другими сканерами, кроме openscap.