第 9 章 部署合规策略
若要部署合规策略,您必须安装 SCAP 客户端,更新 cron 调度文件,并将策略中选择的 SCAP 内容上传到主机上。
9.1. 包含远程 SCAP 资源
SCAP 数据流可以引用在主机上运行时 SCAP 客户端通过互联网获取的远程资源,如 OVAL 文件。如果数据流需要远程资源,您可以在 Satellite 服务器上看到 OpenSCAP Scanner 工具的警告,例如:
# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml | grep "WARNING"
WARNING: Datastream component 'scap_org.open-scap_cref_security-data-oval-com.redhat.rhsa-RHEL8.xml.bz2'
points out to the remote 'https://access.redhat.com/security/data/oval/com.redhat.rhsa-RHEL8.xml.bz2'.
Use '--fetch-remote-resources' option to download it.
WARNING: Skipping 'https://access.redhat.com/security/data/oval/com.redhat.rhsa-RHEL8.xml.bz2' file
which is referenced from datastream
默认情况下,SCAP 客户端配置为忽略远程资源,并跳过依赖资源的 XCCDF 规则。然后,跳过的规则会导致 notchecked 状态。
对于可访问互联网的主机,您可以在 Satellite 中的主机上下载远程资源。有关将远程 SCAP 资源应用到无法访问互联网的主机的详情,请参考 第 9.2 节 “在断开连接的环境中应用远程 SCAP 资源”。
- 使用 Ansible 部署方法
覆盖以下 Ansible 变量:
-
名称:
foreman_scap_client_fetch_remote_resources -
类型:
布尔值 -
Value:
true
如需更多信息,请参阅在 Red Hat Satellite 中使用 Ansible 集成管理配置 中的 在 Satellite 中 覆盖 Ansible 变量。
-
名称:
- 使用 Puppet 部署方法
配置以下 Puppet 智能类参数:
-
名称:
fetch_remote_resources -
类型:
布尔值 -
Value:
true
如需更多信息,请参阅在 Red Hat Satellite 中使用 Puppet 集成管理配置 中的 配置 Puppet 智能类参数。
-
名称:
