9.7. 管理合规策略
合规策略 是一个调度的审计,用于检查指定的主机是否符合 SCAP 内容中的特定 XCCDF 配置集。
您可以指定 Satellite 服务器上扫描的调度,并在主机上执行扫描。扫描完成后,会生成 ARF 格式的报告并上传到 Satellite 服务器。合规策略不对扫描的主机进行任何更改。
合规策略定义 SCAP 客户端配置和 cron 计划。然后,策略会与分配策略的主机上的 SCAP 客户端一起部署。
9.7.1. 创建合规策略
通过创建合规策略,您可以定义和规划安全合规要求,并确保您的主机保持符合您的安全策略。
先决条件
- 您已为所选 合规策略部署方法 配置了 Satellite。
您已在 Satellite 中可用 SCAP 内容,最终定制文件。
- 要验证可用的 SCAP 内容,请参阅 第 9.5 节 “列出可用的 SCAP 内容”。
- 要上传 SCAP 内容和定制文件,请参阅 第 9.6 节 “配置 SCAP 内容”。
-
您的用户帐户具有
view_policies
和create_policies
权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 单击 New Policy 或 New Compliance Policy。
- 选择部署方法: Ansible、Puppet 或 Manual。然后单击"下一步"。
- 输入此策略的名称、描述(可选),然后单击下一步。
选择要应用的 SCAP Content 和 XCCDF Profile,然后单击 Next。
请注意,Satellite 不会检测所选 XCCDF 配置集是否包含任何规则。一个空的 XCCDF 配置集(如
Default XCCDF Profile
)将返回空的报告。- 可选: 要自定义 XCCDF 配置集,请选择 Tailoring File 和 XCCDF Profile in Tailoring File,然后点 Next。
指定应用策略时的调度时间。从 Period 列表中选择 Weekly、Monthly 或 Custom。Custom 选项允许在策略调度中更大的灵活性。
- 如果选择 Weekly,也可从 Weekday 列表中选择一周的所需日期。
- 如果您选择了 Monthly,还在 Day of month 字段中指定了日期。
- 如果您选择 Custom,在 Cron line 字段中输入有效的 Cron 表达式。
- 选择要应用策略的位置,然后单击 Next。
- 选择要应用该策略的组织,然后单击下一步。
- 可选:选择要为其分配策略的主机组。
- 点 Submit。
9.7.2. 查看合规策略
您可以预览特定 OpenSCAP 内容和配置文件组合应用的规则。当您计划策略时,这非常有用。
前提条件
-
您的用户帐户具有
view_policies
权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 在所需策略的 Actions 列中,点 Show Guide 或从列表中选择它。
9.7.3. 编辑合规策略
在卫星 Web UI 中,您可以编辑合规性策略。
Puppet 代理在下次运行时将编辑的策略应用到主机。默认情况下,每 30 分钟发生一次。如果使用 Ansible,您必须手动运行 Ansible 角色,或者配置了在主机上运行 Ansible 角色的周期性远程执行作业。
前提条件
-
您的用户帐户具有
view_policies
和edit_policies
权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 点所需策略的名称。
- 编辑必要的属性。
- 点 Submit。
9.7.4. 删除合规策略
在卫星 Web UI 中,您可以删除现有合规策略。
前提条件
-
您的用户帐户具有
view_policies
和destroy_policies
权限。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Compliance - Policies。
- 在所需策略的 Actions 列中,从列表中选择 Delete。
- 在确认消息中点 OK。