B.6. Commandes Kickstart pour les modules complémentaires fournis avec le programme d'installation de RHEL
Les commandes Kickstart de cette section sont liées aux modules complémentaires fournis par défaut avec le programme d'installation de Red Hat Enterprise Linux : Kdump et OpenSCAP.
B.6.1. don com_redhat_kdump
La commande don com_redhat_kdump Kickstart est facultative. Cette commande configure le mécanisme de vidage de crash du noyau kdump.
Syntaxe
%addon com_redhat_kdump [OPTIONS]%end
La syntaxe de cette commande est inhabituelle car il s'agit d'un complément et non d'une commande Kickstart intégrée.
Notes
Kdump est un mécanisme de vidage de crash du noyau qui vous permet de sauvegarder le contenu de la mémoire du système pour une analyse ultérieure. Il s'appuie sur kexec, qui peut être utilisé pour démarrer un noyau Linux à partir du contexte d'un autre noyau sans redémarrer le système, et préserver le contenu de la mémoire du premier noyau qui serait autrement perdu.
En cas de panne du système, kexec démarre avec un second noyau (un noyau de capture). Ce noyau de capture réside dans une partie réservée de la mémoire du système. Kdump capture ensuite le contenu de la mémoire du noyau accidenté (un crash dump) et l'enregistre à un emplacement spécifié. L'emplacement ne peut pas être configuré à l'aide de cette commande Kickstart ; il doit être configuré après l'installation en modifiant le fichier de configuration /etc/kdump.conf.
Pour plus d'informations sur Kdump, voir le chapitre Installation de kdump du document Managing, monitoring and updating the kernel.
Options
-
--enable- Activer kdump sur le système installé. -
--disable- Désactiver kdump sur le système installé. --reserve-mb=- La quantité de mémoire que vous souhaitez réserver à kdump, en Mo. Par exemple :%addon com_redhat_kdump --enable --reserve-mb=128%endVous pouvez également spécifier
autoau lieu d'une valeur numérique. Dans ce cas, le programme d'installation déterminera automatiquement la quantité de mémoire nécessaire en fonction des critères décrits dans la section Mémoire requise pour kdump du document Managing, monitoring and updating the kernel.Si vous activez kdump et ne spécifiez pas d'option
--reserve-mb=, la valeurautosera utilisée.-
--enablefadump- Activer le dumping assisté par microprogramme sur les systèmes qui le permettent (notamment les serveurs IBM Power Systems).
B.6.2. %addon com_redhat_oscap
La commande don com_redhat_oscap Kickstart est facultative.
Le module complémentaire du programme d'installation OpenSCAP est utilisé pour appliquer le contenu SCAP (Security Content Automation Protocol) - les politiques de sécurité - sur le système installé. Ce module complémentaire est activé par défaut depuis Red Hat Enterprise Linux 7.2. Lorsqu'il est activé, les paquets nécessaires pour fournir cette fonctionnalité seront automatiquement installés. Cependant, par défaut, aucune politique n'est appliquée, ce qui signifie qu'aucune vérification n'est effectuée pendant ou après l'installation, à moins qu'elle ne soit spécifiquement configurée.
L'application d'une politique de sécurité n'est pas nécessaire sur tous les systèmes. Cette commande ne doit être utilisée que lorsqu'une politique spécifique est imposée par les règles de votre organisation ou les réglementations gouvernementales.
Contrairement à la plupart des autres commandes, ce module complémentaire n'accepte pas d'options ordinaires, mais utilise des paires clé-valeur dans le corps de la définition de don. Ces paires sont indépendantes de l'espace blanc. Les valeurs peuvent être placées entre guillemets simples (') ou doubles (").
Syntaxe
%addon com_redhat_oscapkey = value%end
Clés
Les touches suivantes sont reconnues par le module complémentaire :
content-typeType de contenu de sécurité. Les valeurs possibles sont
datastream,archive,rpmetscap-security-guide.Si l'adresse
content-typeestscap-security-guide, le module complémentaire utilisera le contenu fourni par le paquet scap-security-guide présent sur le support de démarrage. Cela signifie que toutes les autres clés, à l'exception deprofile, n'auront aucun effet.content-url- Emplacement du contenu de sécurité. Le contenu doit être accessible par HTTP, HTTPS ou FTP ; le stockage local n'est actuellement pas pris en charge. Une connexion réseau doit être disponible pour accéder aux définitions de contenu dans un emplacement distant.
datastream-id-
ID du flux de données référencé dans la valeur
content-url. Utilisé uniquement sicontent-typeestdatastream. xccdf-id- ID du point de référence que vous souhaitez utiliser.
content-path- Chemin d'accès au flux de données ou au fichier XCCDF à utiliser, sous forme de chemin relatif dans l'archive.
profile-
ID du profil à appliquer. Utilisez
defaultpour appliquer le profil par défaut. fingerprint-
Une somme de contrôle MD5, SHA1 ou SHA2 du contenu référencé par
content-url. tailoring-path- Chemin d'accès au fichier d'adaptation à utiliser, indiqué sous forme de chemin relatif dans l'archive.
Examples
Voici un exemple de section
don com_redhat_oscapqui utilise le contenu de la section scap-security-guide sur le support d'installation :Exemple B.1. Exemple de définition d'un module complémentaire OpenSCAP utilisant le guide de sécurité SCAP
%addon com_redhat_oscapcontent-type = scap-security-guide profile = xccdf_org.ssgproject.content_profile_pci-dss%endVoici un exemple plus complexe qui charge un profil personnalisé à partir d'un serveur web :
Exemple B.2. Exemple de définition d'un module complémentaire OpenSCAP utilisant un flux de données
%addon com_redhat_oscapcontent-type = datastream content-url = http://www.example.com/scap/testing_ds.xml datastream-id = scap_example.com_datastream_testing xccdf-id = scap_example.com_cref_xccdf.xml profile = xccdf_example.com_profile_my_profile fingerprint = 240f2f18222faa98856c3b4fc50c4195%end
Ressources supplémentaires
