5.8. Adapter l'opérateur de conformité
Bien que l'Opérateur de Conformité soit livré avec des profils prêts à l'emploi, ceux-ci doivent être modifiés pour répondre aux besoins et aux exigences de l'organisation. Le processus de modification d'un profil est appelé tailoring.
L'opérateur de conformité fournit l'objet TailoredProfile
pour aider à adapter les profils.
5.8.1. Création d'un nouveau profil personnalisé Copier lienLien copié sur presse-papiers!
Vous pouvez créer un profil personnalisé à partir de zéro en utilisant l'objet TailoredProfile
. Définissez un title
et un description
appropriés et laissez le champ extends
vide. Indiquez à l'opérateur de conformité le type d'analyse que ce profil personnalisé va générer :
- Analyse des nœuds : Analyse du système d'exploitation.
- Platform scan : Analyse la configuration d'OpenShift.
Procédure
Définissez l'annotation suivante sur l'objet TailoredProfile
:
exemple new-profile.yaml
- 1
- Définissez
Node
ouPlatform
en conséquence. - 2
- Utilisez le champ
description
pour décrire la fonction du nouvel objetTailoredProfile
. - 3
- Donnez un titre à votre objet
TailoredProfile
à l'aide du champtitle
.NoteL'ajout du suffixe
-node
au champname
de l'objetTailoredProfile
est similaire à l'ajout de l'annotation de type de produitNode
et génère une analyse du système d'exploitation.
5.8.2. Utiliser des profils personnalisés pour étendre les ProfileBundles existants Copier lienLien copié sur presse-papiers!
Alors que la norme TailoredProfile
CR permet les opérations d'adaptation les plus courantes, la norme XCCDF offre encore plus de flexibilité dans l'adaptation des profils OpenSCAP. En outre, si votre organisation a déjà utilisé OpenScap, il se peut que vous disposiez d'un fichier d'adaptation XCCDF et que vous puissiez le réutiliser.
L'objet ComplianceSuite
contient un attribut facultatif TailoringConfigMap
qui permet de pointer vers un fichier d'adaptation personnalisé. La valeur de l'attribut TailoringConfigMap
est le nom d'une carte de configuration, qui doit contenir une clé appelée tailoring.xml
et la valeur de cette clé est le contenu de l'adaptation.
Procédure
Parcourez les règles disponibles pour Red Hat Enterprise Linux CoreOS (RHCOS)
ProfileBundle
:oc get rules.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4
$ oc get rules.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Parcourez les variables disponibles sur le même site
ProfileBundle
:oc get variables.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4
$ oc get variables.compliance -n openshift-compliance -l compliance.openshift.io/profile-bundle=rhcos4
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Créez un profil personnalisé nommé
nist-moderate-modified
:Choisissez les règles que vous souhaitez ajouter au profil personnalisé
nist-moderate-modified
. Cet exemple étend le profilrhcos4-moderate
en désactivant deux règles et en modifiant une valeur. Utilisez la valeurrationale
pour décrire la raison de ces changements :Exemple
new-profile-node.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Expand Tableau 5.2. Attributs des variables de spécification Attribut Description extends
Nom de l'objet
Profile
sur lequelTailoredProfile
est construit.title
Titre lisible par l'homme de l'adresse
TailoredProfile
.disableRules
Une liste de paires de noms et de raisons. Chaque nom renvoie au nom d'un objet de règle à désactiver. La valeur de justification est un texte lisible par l'homme décrivant la raison pour laquelle la règle est désactivée.
manualRules
Une liste de paires de noms et de justifications. Lorsqu'une règle manuelle est ajoutée, le statut du résultat de la vérification sera toujours
manual
et la remédiation ne sera pas générée. Cet attribut est automatique et n'a pas de valeur par défaut lorsqu'il est défini en tant que règle manuelle.enableRules
Une liste de paires de noms et de justifications. Chaque nom fait référence au nom d'un objet de règle qui doit être activé. La valeur rationale est un texte lisible par l'homme décrivant la raison pour laquelle la règle est activée.
description
Texte lisible par l'homme décrivant le site
TailoredProfile
.setValues
Une liste de groupes de noms, de raisons d'être et de valeurs. Chaque nom fait référence à un nom de l'ensemble de valeurs. La justification est un texte lisible par l'homme décrivant l'ensemble. La valeur est le paramètre réel.
Ajouter l'attribut
tailoredProfile.spec.manualRules
:Exemple
tailoredProfile.spec.manualRules.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Créer l'objet
TailoredProfile
:oc create -n openshift-compliance -f new-profile-node.yaml
oc create -n openshift-compliance -f new-profile-node.yaml
1 Copy to Clipboard Copied! Toggle word wrap Toggle overflow - 1
- L'objet
TailoredProfile
est créé dans l'espace de noms par défautopenshift-compliance
.
Exemple de sortie
tailoredprofile.compliance.openshift.io/nist-moderate-modified created
tailoredprofile.compliance.openshift.io/nist-moderate-modified created
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Définir l'objet
ScanSettingBinding
pour lier le nouveau profil personnalisénist-moderate-modified
à l'objet par défautScanSetting
.Exemple
new-scansettingbinding.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Créer l'objet
ScanSettingBinding
:oc create -n openshift-compliance -f new-scansettingbinding.yaml
$ oc create -n openshift-compliance -f new-scansettingbinding.yaml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow Exemple de sortie
scansettingbinding.compliance.openshift.io/nist-moderate-modified created
scansettingbinding.compliance.openshift.io/nist-moderate-modified created
Copy to Clipboard Copied! Toggle word wrap Toggle overflow