6.6. 시스템을 특정 기준과 정렬하도록 수정 Ansible 플레이북 생성
시스템을 특정 기준과 조정하는 데 필요한 수정 사항만 포함하는 Ansible 플레이북을 생성할 수 있습니다. 이 플레이북은 이미 충족된 요구 사항을 다루지 않기 때문에 더 적습니다. 플레이북을 생성하면 시스템을 어떤 식으로든 수정하지 않으며 이후 애플리케이션을 위한 파일만 준비합니다. 이 예에서는 HIPAA(Health Insurance Portability and Accountability Act) 프로필을 사용합니다.
RHEL 9에서는 Ansible Engine이 내장된 모듈만 포함하는 ansible-core
패키지로 교체됩니다. 많은 Ansible 수정에서는 기본 제공 모듈에 포함되지 않은 커뮤니티 및 이식 가능한 운영 체제 인터페이스(POSIX) 컬렉션의 모듈을 사용합니다. 이 경우 Bash 수정을 Ansible 수정을 대신 사용할 수 있습니다. RHEL 9.0의 Red Hat Connector에는 Ansible Core에서 작동하는 데 필요한 Ansible 모듈이 포함되어 있습니다.
사전 요구 사항
-
scap-security-guide
패키지가 설치됩니다.
절차
시스템을 스캔하고 결과를 저장합니다.
# oscap xccdf eval --profile hipaa --results <hipaa-results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
결과를 사용하여 파일에서 결과 ID 값을 찾습니다.
# oscap info <hipaa-results.xml>
1단계에서 생성된 파일을 기반으로 Ansible 플레이북을 생성합니다.
# oscap xccdf generate fix --fix-type ansible --result-id <xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_hipaa> --output <hipaa-remediations.yml> <hipaa-results.xml>
-
1단계에서 수행한 검사 중에 실패한 규칙에 대한 Ansible 수정이 포함된 생성된 파일을 검토합니다. 생성된 이 파일을 검토한 후
ansible-playbook < hipaa-remediations.yml
> 명령을 사용하여 적용할 수 있습니다.
검증
-
선택한 텍스트 편집기에서 생성된 <
hipaa-remediations.yml
> 파일에 1단계에서 수행한 검사에 실패한 규칙이 포함되어 있는지 검토합니다.
추가 리소스
-
시스템의
scap-security-guide(8)
및oscap(8)
도움말 페이지 - Ansible 설명서