Я создаю установочный образ RHEL 7.3 с помощью специального файла кикстарта.
Я могу добавить это в свой файл кикстарта, чтобы включить конфигурацию SCAP во время установки:
%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
%end
Однако когда я это делаю, я получаю nousb
в моей командной строке ядра, которая отключает все интерфейсы USB, включая клавиатуру и мышь.
(Я делал то же самое раньше с образом RHEL 7.2, и он «просто работает», поэтому я знаю, что базовый подход является правильным. Но он использует более старый и, по-видимому, менее полный профиль безопасности.)
Теперь я полностью понимаю, почему: есть правило, которое специально устанавливает это. Мне нужно «настроить» правила, чтобы инструмент SCAP не отключал все мои USB-устройства.
В соответствии с Документация по кикстарту Red Hat и сайт OSCAP Anaconda, Я могу приостановить действие этого правила, предоставив свой собственный файл адаптации:
tailoring-path - Путь к файлу адаптации, который следует использовать, заданный как относительный путь в архиве.
Итак, я запускаю scap-workbench, отключаю затронутое правило и сохраняю свои изменения как файл tailoring.xml.
Затем я могу добавить строку в конфигурацию кикстарта, например:
%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end
Основываясь на методе проб и ошибок, я также пришел к выводу, что файл tailoring.xml должен быть помещен в / root / openscap_data (абсолютные пути абсолютно не работают - во время установки вы получите заметное приглашение отладки, останавливающее показ).
Даже после создания файла настройки я все еще получаю ядро с nousb
когда я делаю новую установку.
Я действительно помещаю tailoring.xml в нужное место?
Есть ли подробный журнал, который я могу использовать для диагностики того, что делает надстройка? (Я нашел только основную информацию в /var/log/anaconda/journal.log.)
Если подход к адаптации по какой-либо причине не работает, каков чистый и последовательный способ применить обходной путь для этой проблемы, не отбрасывая полностью автоконфигурацию STIG? (Например, могу ли я использовать другой дополнительный модуль для очистки аргументов ядра после того, как OSCAP их сломает?)
tailoring-path
, вероятно, вам нужно обновить profile
линияОпределение tailoring-path
не вводит никаких новых правил автоматически, а просто добавляет еще один источник в иерархию поиска. Чтобы действительно использовать это, вам нужно вызвать "индивидуальный" профиль по имени, вместо исходного профиля, например:
%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end
Индивидуальное имя профиля - это имя, которое Scap Workbench предлагает вам создать при сохранении. "Полная форма" приемлема; вы можете просто открыть файл пошива в текстовом редакторе и скопировать его напрямую.
На основе это сообщение в блоге OpenShift, вам необходимо установить некоторые пакеты, чтобы журнал openSCAP был в системном журнале:
yum install html2text util-linux-ng
Что касается решения проблемы, упомянутая вами проверка в основном выполняет следующие действия:
sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\1\"\2 nousb\"/" /etc/default/grub
bootloader
/sbin/grubby --update-kernel=ALL --args="nousb"
Таким образом, вы можете отменить действия этого конкретного правила, удалив nousb
из параметров grub по умолчанию.
Однако я не могу найти ничего о том, почему ваш пошив не работает. Эта почта однако, похоже, сообщает о подобной проблеме с вашей, и этот раствор RH - если у вас есть доступ - может быть полезно (у меня нет учетной записи для просмотра самого решения, но его название - «Поддержка адаптации OpenSCAP в Satellite 6»).
Официальное руководство OpenSCAP по настройке предлагает вам сохранить настройки рабочего места с помощью:
Файл → Сохранить только настройку.
Также следует отметить одну небольшую вещь (от http://static.open-scap.org/scap-workbench-1.1/#_load_a_ready_made_customization_xccdf_tailoring_file_optional):
Только XCCDF 1.2 официально поддерживает адаптацию. Проект OpenSCAP имеет расширение, которое позволяет настраивать файлы для использования с XCCDF 1.1, поэтому SCAP Workbench также поддерживает это. Подробности выходят за рамки этого документа, но имейте в виду, что настройка файла XCCDF 1.1 может не работать с другими сканерами, кроме openscap.