第 9 章 部署合规策略
要部署合规性策略,您必须安装 SCAP 客户端,更新 cron 计划文件,并将策略中选择的 SCAP 内容上传到主机。
9.1. 包含远程 SCAP 资源
SCAP 数据流可以引用远程资源,如 OVAL 文件,SCAP 客户端在主机上运行时通过互联网获取。如果数据流需要远程资源,您可以从 Satellite 服务器上的 OpenSCAP Scanner 工具中看到警告,例如:
# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml | grep "WARNING"
WARNING: Datastream component 'scap_org.open-scap_cref_security-data-oval-com.redhat.rhsa-RHEL8.xml.bz2'
points out to the remote 'https://access.redhat.com/security/data/oval/com.redhat.rhsa-RHEL8.xml.bz2'.
Use '--fetch-remote-resources' option to download it.
WARNING: Skipping 'https://access.redhat.com/security/data/oval/com.redhat.rhsa-RHEL8.xml.bz2' file
which is referenced from datastream
默认情况下,SCAP 客户端配置为忽略远程资源,并跳过依赖资源的 XCCDF 规则。然后,跳过的规则会导致 notchecked 状态。
对于可访问互联网的主机,您可以在 Satellite 中的主机上下载远程资源。有关将远程 SCAP 资源应用到无法访问互联网的主机的详情,请参考 第 9.2 节 “在断开连接的环境中应用远程 SCAP 资源”。
- 使用 Ansible 部署方法
覆盖以下 Ansible 变量:
-
name:
foreman_scap_client_fetch_remote_resources -
类型:
布尔值 -
Value:
true
-
name:
- 使用 Puppet 部署方法
配置以下 Puppet 智能类参数:
-
name:
fetch_remote_resources -
类型:
布尔值 -
Value:
true
有关更多信息,请参阅使用 Puppet 集成管理配置 中的 配置 Puppet 智能类参数 。
-
name:
