6.4. 修复系统,使其与特定基准一致
您可以修正 RHEL 系统,使其与特定基准一致。您可以修复系统,使其与 SCAP 安全指南提供的任何配置集保持一致。有关列出可用配置文件的详情,请查看 查看配置合规的配置文件 部分。
警告
如果不小心使用,在启用了 Remediate
选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。
先决条件
-
scap-security-guide
软件包已安装。
流程
使用带有-
remediate
选项的oscap
命令修复系统:# oscap xccdf eval --profile <profileID> --remediate /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
将
<profileID
> 替换为系统应该遵守的配置集 ID,例如hipaa
。- 重启您的系统。
验证
使用配置集评估系统合规性,并将扫描结果保存到文件中:
$ oscap xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
替换:
-
<scan-report.html
>,使用oscap
保存扫描结果的文件名。 -
<profile
Id> 带有系统应该遵守的配置集 ID,例如hipaa
。
-
其它资源
-
您系统上的
scap-security-guide (8)
和oscap (8)
手册页 - 使用 SSG 内容补充 DISA 基准 知识库文章