红帽全球峰会7.7. 管理合规策略
合规策略 是一个调度的审计,用于检查指定的主机是否符合 SCAP 内容中的特定 XCCDF 配置集。
您可以指定 Satellite 服务器上扫描的调度,并在主机上执行扫描。扫描完成后,会生成 ARF 格式的报告并上传到 Satellite 服务器。合规策略不对扫描的主机进行任何更改。
合规策略定义 SCAP 客户端配置和 cron 计划。然后,策略会与分配策略的主机上的 SCAP 客户端一起部署。
7.7.1. 合规策略
调度的审计(也称为 合规策略 )是一个调度的任务,用于检查指定的主机是否合规。扫描的调度由 Satellite 服务器指定,扫描是在主机上执行的。扫描完成后,以 XML 格式生成资产 报告文件(ARF),并上传到 Satellite 服务器。您可以在合规策略仪表板中看到扫描的结果。合规策略不会对扫描的主机进行任何更改。SCAP 内容包含多个相关规则的配置文件,但默认不包含策略。
7.7.2. 创建合规策略
通过创建合规策略,您可以定义和规划安全合规要求,并确保您的主机保持符合您的安全策略。
先决条件
- 您已为所选 合规策略部署方法 配置了 Satellite。
您已在 Satellite 中可用 SCAP 内容,最终定制文件。
- 要验证可用的 SCAP 内容,请参阅 第 7.5 节 “列出可用的 SCAP 内容”。
- 要上传 SCAP 内容和定制文件,请参阅 第 7.6 节 “配置 SCAP 内容”。
-
您的用户帐户具有
view_policies和create_policies权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 单击 New Policy 或 New Compliance Policy。
- 选择部署方法: Ansible、Puppet 或 Manual。然后单击"下一步"。
- 输入此策略的名称,描述(可选),然后单击 Next。
选择要应用的 SCAP Content 和 XCCDF Profile,然后单击 Next。
请注意,Satellite 不会检测所选 XCCDF 配置集是否包含任何规则。一个空的 XCCDF 配置集(如
Default XCCDF Profile)将返回空的报告。- 可选: 要自定义 XCCDF 配置集,请选择 Tailoring File 和 XCCDF Profile in Tailoring File,然后点 Next。
指定应用策略时的调度时间。从 Period 列表中选择 Weekly、Monthly 或 Custom。Custom 选项允许在策略调度中更大的灵活性。
- 如果您选择 Weekly,还要从 Weekday 列表中选择星期所需的天数。
- 如果您选择了 Monthly,还在 Day of month 字段中指定了日期。
- 如果您选择 Custom,请在 Cron line 字段中输入有效的 Cron 表达式。
- 选择要应用策略的位置,然后单击 Next。
- 选择要应用该策略的组织,然后单击下一步。
- 可选:选择要为其分配策略的主机组。
- 点 Submit。
7.7.3. 查看合规策略
您可以预览规则,该规则将由特定的 OpenSCAP 内容和配置集组合应用。当您计划策略时,这非常有用。
前提条件
-
您的用户帐户具有
view_policies权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 在所需策略的 Actions 列中,点 Show Guide 或从列表中选择它。
7.7.4. 编辑合规策略
在 Satellite Web UI 中,您可以编辑合规策略。
Puppet 代理在下次运行时将编辑的策略应用到主机。默认情况下,这每 30 分钟发生一次。如果使用 Ansible,您必须手动运行 Ansible 角色,或者配置了在主机上运行 Ansible 角色的周期性远程执行作业。
前提条件
-
您的用户帐户具有
view_policies和edit_policies权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 点所需策略的名称。
- 编辑必要的属性。
- 点 Submit。
7.7.5. 删除合规策略
在 Satellite Web UI 中,您可以删除现有的合规策略。
前提条件
-
您的用户帐户具有
view_policies和destroy_policies权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 在所需策略的 Actions 列中,从列表中选择 Delete。
- 在确认消息中点 OK。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}