8.7. 使用 SCAP Workbench 使用自定义配置文件扫描系统

SCAP Workbench 是一个图形实用程序，可让您在单个本地或远程系统上执行配置扫描，对系统执行修复，并根据扫描评估生成报告。请注意，与 oscap 命令行工具相比，SCAP Workbench 的功能有限。SCAP Workbench 以数据流文件的形式处理安全内容。

要针对所选的安全策略评估您的系统，请使用以下流程。

先决条件

流程

要从 GNOME Classic 桌面环境运行 SCAP Workbench，请按 Super 键进入 Activities Overview，输入 scap-workbench，然后按 Enter。或者，使用：
```
~]$ scap-workbench &
```
使用以下任一选项选择安全策略：
- 开始窗口中的 Load Content 按钮
- 打开 SCAP 安全指南中的内容
- 在 File 中打开 Other Content，搜索相关的 XCCDF、SCAP RPM 或数据流文件。
您可以选择 Remediate 复选框来启用系统配置自动修正。启用此选项后，SCAP Workbench 会尝试根据策略所应用的安全规则来修改系统配置。这个过程会尝试修复系统扫描过程中失败的相关检查。
警告
如果不小心使用，在启用了 Remediate 选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由安全强化补救所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统，运行补救可能无法使其与所需安全配置兼容。
单击Scan按钮，使用所选配置文件扫描您的系统。
要以 XCCDF、ARF 或 HTML 文件的形式保存扫描结果，请点击 Save Results 组合框。选择 HTML Report 选项，以人类可读的格式生成扫描报告。XCCDF 和 ARF（数据流）格式适合进一步自动处理。您可以重复选择所有三个选项。
要将基于结果的补救导出到文件，请使用 Generate remediation role 弹出菜单。

您可以通过更改某些规则中的参数（如最小密码长度）、删除以不同方式涵盖的规则，并选择额外的规则来自定义安全配置文件，以实现内部策略。您不能通过自定义配置文件来定义新规则。

以下流程演示了如何使用 SCAP Workbench 来自定义（定制）配置文件。您还可以保存定制的配置文件，以便在 oscap 命令行工具中使用。。

流程

运行 SCAP Workbench，然后使用 Open content from SCAP Security Guide 或 Open Other Content in the File 菜单中选择您要自定义的配置集。
要根据您的需要调整所选的安全配置文件，请点击 Customize 按钮。
这会打开新的 Customization 窗口，允许您在不更改原始 XCCDF 文件的情况下修改当前选择的 XCCDF 配置集。选择新的配置文件 ID。
使用将规则组织成逻辑组的树结构或 Search 字段查找要修改的规则。
使用树结构中的复选框来包含或排除规则，或者在适用情况下修改规则中的值。
点击 OK 按钮以确认修改。
要永久存储您的修改，请使用以下选项之一：
- 使用 File 菜单中的 Save Customization Only 分别保存自定义文件。
- 使用 File 菜单中的 Save All 一次保存所有安全内容。
  如果您选择了 Into a directory 选项，SCAP Workbench 会将 XCCDF 或数据流文件以及自定义文件保存到指定位置。您可以使用它作为备份解决方案。
  通过选择 As RPM 选项，您可以指示 SCAP Workbench 创建包含数据流文件和自定义文件的 RPM 软件包。这对于将安全内容分发到无法远程扫描的系统以及交付内容以供进一步处理非常有用。

注意

因为 SCAP Workbench 不支持对定制配置文件的基于结果的补救，所以请使用 oscap 命令行工具导出的补救。