6.4. 修复系统,使其与特定基准一致
您可以修复 RHEL 系统,以与特定基准保持一致。您可以修复系统,使其与 SCAP 安全指南提供的任何配置文件保持一致。有关列出可用配置文件的详情,请查看 查看配置合规的配置文件 部分。
警告
如果不小心使用,在启用了 Remediate 选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。在 RHEL 系统上的默认配置中支持修复。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。
先决条件
-
scap-security-guide软件包已安装。
步骤
使用带有
--remediate选项的oscap命令修复系统:# oscap xccdf eval --profile <profileID> --remediate /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml将
<profileID>替换为系统应该遵守的配置文件的 ID,例如hipaa。- 重启您的系统。
验证
使用配置文件评估系统的合规性,并将扫描结果保存到文件中:
$ oscap xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml替换:
-
使用
oscap保存扫描结果的文件名<scan-report.html>。 -
系统应该遵守的配置文件 ID
<profileID>,例如hipaa。
-
使用
其他资源
-
您系统上的
scap-security-guide (8)和oscap (8)手册页
