9.6. 配置 SCAP 内容


您可以上传 SCAP 数据流和定制文件来定义合规策略。

9.6.1. 加载默认 SCAP 内容

通过在 Satellite 服务器上载入默认 SCAP 内容,您可以确保加载 SCAP 安全指南(SSG)中的数据流,并分配给所有机构和位置。

SSG 由 Satellite 服务器的操作系统提供,并安装在 /usr/share/xml/scap/ssg/content/ 中。请注意,可用的数据流取决于 Satellite 运行的操作系统版本。您只能使用此 SCAP 内容扫描与 Satellite 服务器具有相同次 RHEL 版本的主机。如需更多信息,请参阅 第 9.6.2 节 “为 RHEL 获取支持的 SCAP 内容”

先决条件

  • 您的用户帐户分配了 create_scap_contents 权限的角色。

流程

  • 在 Satellite 服务器上使用以下 Hammer 命令:

    # hammer scap-content bulk-upload --type default

9.6.2. 为 RHEL 获取支持的 SCAP 内容

您可以在红帽客户门户网站上获取 Red Hat Enterprise Linux 的最新 SCAP 安全指南(SSG)。您必须获取为主机的次要 RHEL 版本指定的 SSG 版本。

流程

  1. 在软件包浏览器中访问 SCAP 安全指南
  2. Version 菜单中,为您的主机运行的 RHEL 的次版本选择最新的 SSG 版本。例如,对于 RHEL 8.6,请选择名为 If el8_6 的版本
  3. 下载软件包 RPM。
  4. 从 RPM 中提取 data-stream 文件(*-ds.xml)。例如:

    $ rpm2cpio scap-security-guide-0.1.69-3.el8_6.noarch.rpm \
    | cpio -iv --to-stdout ./usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml \
    > ssg-rhel-8.6-ds.xml
  5. 将数据流上传到 Satellite。如需更多信息,请参阅 第 9.6.3 节 “上传额外的 SCAP 内容”

其他资源

9.6.3. 上传额外的 SCAP 内容

您可以将其他 SCAP 内容上传到 Satellite 服务器,可以是自己创建的内容,或者在其他位置获取。请注意,红帽只提供对从红帽获取的 SCAP 内容的支持。要使用 CLI 而不是 Satellite Web UI,请参阅 CLI 过程

前提条件

  • 您的用户帐户具有 create_scap_contents 权限。
  • 您已获取了 SCAP 数据流文件。

流程

  1. 在 Satellite Web UI 中,进入到 Hosts > Compliance > SCAP contents
  2. 单击 Upload New SCAP Content
  3. Title 文本框中输入标题,如 My SCAP Content
  4. Scap File 中,单击 Choose file,导航到包含 SCAP data-stream 文件的位置,然后单击 Open
  5. 位置 选项卡上,选择位置。
  6. 组织选项卡上,选择组织
  7. Submit

如果成功加载 SCAP 内容文件,则会显示类似于 Successfully created My SCAP Content 的消息。

CLI 过程

  1. 将 SCAP data-stream 文件放在 Satellite 服务器上的目录中,如 /usr/share/xml/scap/my_content/
  2. 在 Satellite 服务器上运行以下 Hammer 命令:

    # hammer scap-content bulk-upload --type directory \
    --directory /usr/share/xml/scap/my_content/ \
    --location "My_Location" \
    --organization "My_Organization"

验证

9.6.4. 定制 XCCDF 配置集

您可以使用 定制文件 自定义现有的 XCCDF 配置集,而无需编辑原始 SCAP 内容。单个定制文件可以包含多个 XCCDF 配置集的自定义。

您可以使用 SCAP Workbench 工具创建定制文件。有关使用 SCAP Workbench 工具的更多信息,请参阅 为您的用例自定义 SCAP 安全指南

然后,您可以将定制文件分配给合规策略,以在策略中自定义 XCCDF 配置集。

9.6.5. 上传定制文件

上传定制文件后,您可以在自定义策略中应用它来自定义 XCCDF 配置集。

前提条件

  • 您的用户帐户具有 create_tailoring_files 权限。

流程

  1. 在卫星 Web UI 中,导航到 Hosts > Compliance - Tailoring Files,再单击 New Tailoring File
  2. Name 文本框中输入名称。
  3. 单击 Choose File,导航到包含定制文件的位置,然后选择 Open
  4. 单击 Submit 以上传所选的定制文件。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.