7.3. Remediar el sistema a una línea de base de seguridad
El paquete OpenSCAP proporciona correcciones para que su sistema cumpla con las líneas de base de seguridad, como PCI-DSS, OSPP o ACSC E8. Utilice los pasos del siguiente procedimiento para cambiar la configuración de su sistema para que se ajuste al perfil PCI-DSS.
Red Hat no proporciona ningún método automatizado para revertir los cambios realizados por las correcciones de seguridad. Las remediaciones son compatibles con los sistemas RHEL en la configuración por defecto. Si su sistema ha sido alterado después de la instalación, la ejecución de la remediación podría hacer que no cumpla con el perfil de seguridad requerido.
Requisitos previos
-
El paquete
scap-security-guide
está instalado en su sistema RHEL 8.
Procedimiento
Utilice el comando
oscap
con la opción--remediate
:# oscap xccdf eval --profile pci-dss --remediate /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Puede sustituir pci-dss en el ejemplo anterior por un perfil requerido por su escenario.
Reinicie su sistema:
# reboot
Pasos de verificación
Evaluar el sistema de cómo cumple con el perfil PCI-DSS, y guardar los resultados en el archivo pcidss_report.html:
$ oscap xccdf eval --report pcidss_report.html --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
Recursos adicionales
- Escanear el sistema para comprobar el cumplimiento de la seguridad y las vulnerabilidades
-
scap-security-guide(8)
página de manual -
oscap(8)
páginas de manual