第 2 章 使用合规性服务
本节论述了如何配置 RHEL 系统,将合规数据报告到 Insights for RHEL 应用程序。这会安装必要的其他组件,如 SCAP 安全指南(SSG),后者用于执行合规性扫描。
先决条件
- Insights 客户端已部署在系统上。
- 必须具有系统上的 root 权限。
流程
检查系统中的 RHEL 版本:
[user@insights]$ cat /etc/redhat-release
查看 Insights Compliance - 支持的配置 文章,并记录系统中 RHEL 次版本的支持的 SSG 版本。
注意RHEL 的一些次要版本支持多个 SSG 版本。Insights 合规性服务总是显示最新支持的版本的结果。
检查系统中是否安装了支持的 SSG 软件包版本:
示例 - 对于 RHEL 8.4 运行:
[root@insights]# dnf info scap-security-guide-0.1.57-3.el8_4
如果还没有安装,请在系统上安装支持的 SSG 版本。
示例 - 对于 RHEL 8.4 运行:
[root@insights]# dnf install scap-security-guide-0.1.57-3.el8_4
使用 Insights 合规服务 UI 或 CLI 中使用
insights-client
命令将系统分配给策略:使用合规性服务 UI 进入 Security > Compliance > SCAP 策略,并使用以下方法之一添加系统:
您还可以在 CLI 上使用以下
insights-client
命令添加系统:-
insights-client --compliance-policies
列出可用的策略及其关联的 ID insights-client --compliance-assign <ID>
有关使用
insights-client
命令添加系统的更多信息,请参阅- 在 Insights for RHEL 合规服务中管理 SCAP 安全策略 ,以评估和监控 RHEL 系统安全 策略合规性。
- Red Hat Insights 的客户端配置指南 中的 Insights 客户端选项。
-
将每个系统添加到所需的安全策略后,返回到系统并运行合规性扫描:
[root@insights]# insights-client --compliance
注意扫描可能需要 1 到 5 分钟才能完成。
- 导航到 Security > Compliance > Reports 以查看结果。
-
可选: 调度合规作业以使用
cron
运行。
其它资源
- 要了解 Red Hat Enterprise Linux 次版本支持的 SCAP 安全指南版本,请参阅 Insights Compliance - 支持的配置。
2.1. 为 Insights 服务设置重复扫描
要获得来自 Red Hat Insights 服务(如合规性和恶意软件检测)的最准确建议,您可能需要手动扫描数据收集报告,并定期调度将数据收集报告上传到服务。
使用以下 insights-client
命令手动运行命令:
# insights-client --compliance # insights-client --collector malware-detection
目前,Insights 没有自动调度程序来为您执行扫描,但您可以配置 cron
任务来调度自动扫描。
在创建 cron
作业前,请确保在手动运行时命令可以正常工作。
先决条件
- 您要使用的服务(合规性和中间件检测)已配置并在您的系统中运行。
流程
在系统提示符处,发出
crontab -e
命令来编辑crontab
文件。此命令会打开您的默认文本编辑器。$ crontab -e
为您要运行的服务添加
crontab
条目。例如:10 20 * * * /bin/insights-client --compliance 10 21 * * * /bin/insights-client --collector malware-detection
在本例中,第一个命令每天 20:10 本地将 Compliance 报告上传到 Insights。第二个命令会在 21:10 本地时间将恶意软件检测报告上传到 Insights。
- 保存文件并退出文本编辑器。