ホーム
製品
Red Hat Enterprise Linux
8
システムデザインガイド
18.7. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成

18.7. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成

システムを特定のベースラインに合わせるために必要な修復のみを含む Ansible Playbook を作成できます。この Playbook は、すでに満たされている要件を含んでいないため、小型です。Playbook を作成しても、システムは一切変更されません。ここでは、後で適用するためのファイルを準備するだけです。

注記

RHEL 8.6 では、Ansible Engine は、組み込みモジュールのみを含む ansible-core パッケージに置き換えられました。Ansible 修復の多くは、community コレクションおよび Portable Operating System Interface (POSIX) コレクションのモジュールを使用することに注意してください。これは組み込みモジュールには含まれていません。この場合は、Bash 修復を Ansible 修復の代わりに使用できます。RHEL 8.6 の Red Hat Connector には、修復 Playbook が Ansible Core で機能するために必要な Ansible モジュールが含まれています。

前提条件

scap-security-guide パッケージがインストールされている。
ansible-core パッケージがインストールされている。詳細は、Ansible インストールガイドを参照してください。
rhc-worker-playbook パッケージがインストールされている。
システムの修正に使用するプロファイルの ID がわかっている。詳細は、設定コンプライアンスのプロファイルの表示を参照してください。

手順

システムをスキャンして結果を保存します。

Copy to Clipboard Toggle word wrap

oscap xccdf eval --profile <profileID> --results <profile-results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

# oscap xccdf eval --profile <profileID> --results <profile-results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

結果が含まれるファイルで、結果 ID の値を見つけます。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oscap info <profile-results.xml>
```
```
# oscap info <profile-results.xml>
```

ステップ 1 で生成されたファイルに基づいて Ansible Playbook を生成します。

Copy to Clipboard Toggle word wrap

oscap xccdf generate fix --fix-type ansible --result-id xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_<profileID> --output <profile-remediations.yml> <profile-results.xml>

# oscap xccdf generate fix --fix-type ansible --result-id xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_<profileID> --output <profile-remediations.yml> <profile-results.xml>

生成された <profile-remediations.yml> ファイルに、ステップ 1 で実行したスキャンで失敗したルールに対する Ansible 修復が含まれていることを確認します。
Ansible を使用して、選択したプロファイルに準拠するようにシステムを修正します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local <profile-remediations.yml>`
```
```
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local <profile-remediations.yml>`
```
このコマンドで Playbook を実行するには、ANSIBLE_COLLECTIONS_PATH 環境変数が必要です。
警告
修正 オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーを強化した修正で加えられた変更を元に戻す自動手段は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。

検証

システムが選択したプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
```
oscap xccdf eval --profile <profileID> --report <scan-report.html> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
```
```
# oscap xccdf eval --profile <profileID> --report <scan-report.html> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
```
<scan-report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。

関連情報

システム上の scap-security-guide(8) および oscap(8) の man ページ
Ansible Documentation

トップに戻る

18.7. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links