6.8. 使用 SCAP Workbench 用自定义配置文件扫描系统
scap-workbench
软件包中包含的SCAP Workbench
是一个图形化的实用程序,用户可以在单个本地或远程系统上进行配置和漏洞扫描,对系统进行修复,并根据扫描评估结果生成报告。请注意,与 oscap
命令行工具相比,SCAP Workbench
的功能有限。SCAP Workbench
处理数据流文件形式的安全内容。
6.8.1. 使用 SCAP Workbench 来扫描和修复系统
要根据所选的安全策略来评估您的系统,请使用以下流程。
先决条件
-
scap-workbench
软件包已经安装在您的系统中。
流程
要从
GNOME Classic
桌面环境运行SCAP Workbench
,请按 Super 键进入Activities Overview
,输入scap-workbench
,然后按 Enter。或者,使用:$ scap-workbench &
使用以下其中一个选项来选择安全策略:
-
开始窗口中的
Load Content
按钮 -
打开 SCAP 安全指南中的内容
在
File
中打开Other Content
,搜索相关的 XCCDF、SCAP RPM 或数据流文件。
-
开始窗口中的
您可以选择
复选框来允许自动修正系统配置。启用此选项后,SCAP Workbench
会尝试根据策略所应用的安全规则来修改系统配置。这个过程应该修复系统扫描过程中失败的相关检查。警告如果不小心使用,在启用了
Remediate
选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。单击
按钮,使用所选配置文件扫描您的系统。-
要以 XCCDF、ARF 或 HTML 文件的形式保存扫描结果,请点击
HTML Report
选项,以人类可读的格式生成扫描报告。XCCDF 和 ARF(数据流)格式适合进一步自动处理。您可以重复选择所有三个选项。 组合框。选择 - 要将基于结果的补救导出到文件,请使用 弹出菜单。
6.8.2. 使用 SCAP Workbench 自定义安全配置文件
您可以通过更改某些规则中的参数(如最小密码长度)、删除以不同方式涵盖的规则,并选择额外的规则来自定义安全配置文件,以实现内部策略。您不能通过自定义配置文件来定义新规则。
以下流程演示了如何使用 SCAP Workbench
来自定义(定制)配置文件。您还可以保存定制的配置文件,以便在 oscap
命令行工具中使用。。
先决条件
-
scap-workbench
软件包已经安装在您的系统中。
流程
-
运行
SCAP Workbench
,选择要自定义的配置文件,方法是使用打开 SCAP 安全指南中的内容
或者在File
菜单中打开其他内容
。 要根据您的需要调整所选的安全配置文件,请点击
按钮。这会打开新的 Customization 窗口,允许您在不修改原始数据流文件的情况下修改当前选择的配置文件。选择新的配置文件 ID。
- 使用将规则组织成逻辑组的树结构或 字段查找要修改的规则。
使用树结构中的复选框来包含或排除规则,或者在适用情况下修改规则中的值。
- 点击 按钮以确认修改。
要永久存储您的修改,请使用以下选项之一:
-
使用
File
菜单中的Save Customization Only
分别保存自定义文件。 通过在
File
菜单中的Save All
来一次保存所有安全内容。如果您选择了
Into a directory
选项,SCAP Workbench
将数据流文件和自定义文件保存到指定的位置。您可以使用它作为备份解决方案。通过选择
As RPM
选项,您可以指示SCAP Workbench
创建包含数据流文件和自定义文件的 RPM 软件包。这对于将安全内容分发到无法远程扫描的系统以及交付内容以供进一步处理非常有用。
-
使用
因为 SCAP Workbench
不支持对定制配置文件的基于结果的补救,所以请使用 oscap
命令行工具导出的补救。