6.5. 使用 SSG Ansible playbook 修复系统以与特定基准保持一致
您可以使用 SCAP 安全指南项目中的 Ansible playbook 文件来修正您的系统,使其与特定的基准一致。本例使用 Health Insurance Portability and Accountability Act (HIPAA)配置文件,但您可以进行修正,以与 SCAP 安全指南提供的任何其他配置文件保持一致。有关列出可用配置文件的详情,请查看 查看配置合规的配置文件 部分。
如果不小心使用,在启用了 Remediate 选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。
先决条件
-
scap-security-guide软件包已安装。 -
ansible-core软件包已安装。如需更多信息,请参阅 Ansible 安装指南。 RHEL 8.6 或更高版本已安装。有关安装 RHEL 的更多信息,请参阅主动 从安装介质安装 RHEL。
注意在 RHEL 8.5 及更早版本中,Ansible 软件包通过 Ansible Engine 提供,而不是通过 Ansible Core ,并具有不同的支持级别。不要使用 Ansible Engine,因为软件包可能与 RHEL 8.6 及之后版本中的 Ansible 自动化内容不兼容。如需更多信息,请参阅 RHEL 9 和 RHEL 8.6 以及后期的 AppStream 存储库中包含的 Ansible Core 软件包的支持范围。
流程
使用 Ansible 修复您的系统,使其与 HIPAA 一致:
# ansible-playbook -i localhost, -c local /usr/share/scap-security-guide/ansible/rhel8-playbook-hipaa.yml- 重新启动系统。
验证
使用 HIPAA 配置文件评估系统的合规性,并将扫描结果保存到文件中:
# oscap xccdf eval --profile hipaa --report <scan-report.html> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml将
<scan-report.html> 替换为oscap保存扫描结果的文件名。
其它资源
-
您系统上的
scap-security-guide (8)和oscap (8)手册页 - Ansible 文档
