9.6. 配置 SCAP 内容
您可以上传 SCAP 数据流和定制文件来定义合规策略。
9.6.1. 加载默认 SCAP 内容
通过在 Satellite 服务器上载入默认 SCAP 内容,您可以确保加载 SCAP 安全指南(SSG)中的数据流,并分配给所有机构和位置。
SSG 由 Satellite 服务器的操作系统提供,并安装在 /usr/share/xml/scap/ssg/content/
中。请注意,可用的数据流取决于 Satellite 运行的操作系统版本。您只能使用此 SCAP 内容扫描与 Satellite 服务器具有相同次 RHEL 版本的主机。如需更多信息,请参阅 第 9.6.2 节 “为 RHEL 获取支持的 SCAP 内容”。
先决条件
-
您的用户帐户分配了
create_scap_contents
权限的角色。
流程
在 Satellite 服务器上使用以下 Hammer 命令:
# hammer scap-content bulk-upload --type default
9.6.2. 为 RHEL 获取支持的 SCAP 内容
您可以在红帽客户门户网站上获取 Red Hat Enterprise Linux 的最新 SCAP 安全指南(SSG)。您必须获取为主机的次要 RHEL 版本指定的 SSG 版本。
流程
- 在软件包浏览器中访问 SCAP 安全指南。
-
在 Version 菜单中,为您的主机运行的 RHEL 的次版本选择最新的 SSG 版本。例如,对于 RHEL 8.6,请选择名为 If
el8_6 的版本
。 - 下载软件包 RPM。
从 RPM 中提取 data-stream 文件(
*-ds.xml
)。例如:$ rpm2cpio scap-security-guide-0.1.69-3.el8_6.noarch.rpm \ | cpio -iv --to-stdout ./usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml \ > ssg-rhel-8.6-ds.xml
- 将数据流上传到 Satellite。如需更多信息,请参阅 第 9.6.3 节 “上传额外的 SCAP 内容”。
其他资源
- 红帽知识库 中的 RHEL 中支持的 SCAP 安全指南版本
- Red Hat Enterprise Linux 9 安全强化中的 RHEL 9 支持的 SCAP 安全指南配置文件
- Red Hat Enterprise Linux 8 安全强化中的 RHEL 8 支持的 SCAP 安全指南配置文件
- Red Hat Enterprise Linux 7 安全指南中 RHEL 7 支持的 SCAP 安全指南配置文件
9.6.3. 上传额外的 SCAP 内容
您可以将其他 SCAP 内容上传到 Satellite 服务器,可以是自己创建的内容,或者在其他位置获取。请注意,红帽只提供对从红帽获取的 SCAP 内容的支持。要使用 CLI 而不是 Satellite Web UI,请参阅 CLI 过程。
前提条件
-
您的用户帐户具有
create_scap_contents
权限。 - 您已获取了 SCAP 数据流文件。
流程
- 在 Satellite Web UI 中,进入到 Hosts > Compliance > SCAP contents。
- 单击 Upload New SCAP Content。
-
在 Title 文本框中输入标题,如
My SCAP Content
。 - 在 Scap File 中,单击 Choose file,导航到包含 SCAP data-stream 文件的位置,然后单击 Open。
- 在 位置 选项卡上,选择位置。
- 在 组织选项卡上,选择组织。
- 点 Submit。
如果成功加载 SCAP 内容文件,则会显示类似于 Successfully created My SCAP Content
的消息。
CLI 过程
-
将 SCAP data-stream 文件放在 Satellite 服务器上的目录中,如
/usr/share/xml/scap/my_content/
。 在 Satellite 服务器上运行以下 Hammer 命令:
# hammer scap-content bulk-upload --type directory \ --directory /usr/share/xml/scap/my_content/ \ --location "My_Location" \ --organization "My_Organization"
验证
- 列出可用的 SCAP 内容。SCAP 内容列表包含新标题。
9.6.4. 定制 XCCDF 配置集
您可以使用 定制文件 自定义现有的 XCCDF 配置集,而无需编辑原始 SCAP 内容。单个定制文件可以包含多个 XCCDF 配置集的自定义。
您可以使用 SCAP Workbench 工具创建定制文件。有关使用 SCAP Workbench 工具的更多信息,请参阅 为您的用例自定义 SCAP 安全指南。
然后,您可以将定制文件分配给合规策略,以在策略中自定义 XCCDF 配置集。
9.6.5. 上传定制文件
上传定制文件后,您可以在自定义策略中应用它来自定义 XCCDF 配置集。
前提条件
-
您的用户帐户具有
create_tailoring_files
权限。
流程
- 在卫星 Web UI 中,导航到 Hosts > Compliance - Tailoring Files,再单击 New Tailoring File。
- 在 Name 文本框中输入名称。
- 单击 Choose File,导航到包含定制文件的位置,然后选择 Open。
- 单击 Submit 以上传所选的定制文件。