8.6. 创建修复 Ansible Playbook 以选择具有特定基础的系统
使用这个流程创建一个 Ansible playbook,它只包含使您的系统与特定基准保持一致所需的补救。这个示例使用保护配置文件进行通用目的操作系统(OSPP)。通过这个过程,您可以创建一个较小的 playbook ,其不包括已经满足的需求。按照以下步骤,您不需要以任何方式修改您的系统,您只需为后续应用程序准备一个文件。
先决条件
- scap-security-guide 软件包安装在您的系统中。
流程
- 扫描系统并保存结果:
~]#oscap xccdf eval --profile ospp --results ospp-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml - 根据上一步中生成的文件生成一个 Ansible playbook:
~]#oscap xccdf generate fix --fix-type ansible --profile ospp --output ospp-remediations.yml ospp-results.xml ospp-remediations.yml文件包含对在第 1 步中执行扫描过程中失败的规则的 Ansible 修复。查看生成的文件后,您可以使用 ansible-playbook ospp-remediations.yml 命令应用该文件。
验证
- 在您选择的文本编辑器中,检查
ospp-remediations.yml文件是否包含在第 1 步中执行的扫描中失败的规则。
其它资源
scap-security-guide(8)和oscap(8)手册页
