AnacondaのSCAPアドオンにUSBキーボードを使用させるにはどうすればよいですか?
問題
カスタムキックスタートファイルを使用してRHEL7.3インストールイメージを作成しています。
これをキックスタートファイルに追加して、インストール中にSCAP構成を有効にすることができます。
%addon org_Fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
%end
ただし、そうすると、カーネルコマンドラインにnousbが表示され、キーボードとマウスを含むすべてのUSBインターフェイスが無効になります。
(以前にRHEL 7.2イメージで同じことを行ったことがあり、それは「正常に機能する」ので、基本的なアプローチは健全であることがわかります。しかし、それは古い、明らかに完全ではないセキュリティプロファイルを使用しています。)
今、私はその理由を完全に理解しています: それを具体的に設定するルールがあります 。 SCAPツールがすべてのUSBデバイスを無効にしないように、ルールを「調整」する必要があります。
私がこれまでに理解したこと
Red Hatのキックスタートドキュメント および OSCAP Anacondaサイト によると、独自の調整ファイルを提供することで、この1つのルールを一時停止できます。
tailoring-path-アーカイブ内の相対パスとして指定された、使用する必要のある調整ファイルへのパス。
そのため、scap-workbenchを実行し、影響を受けるルールを無効にして、変更をtailoring.xmlファイルとして保存します。
次に、次のようにキックスタート設定に行を追加できます。
%addon org_Fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end
試行錯誤に基づいて、tailoring.xmlファイルを/ root/openscap_dataに配置する必要があると結論付けました(絶対パスは絶対に機能しません。インストール中に目立つ表示停止デバッグプロンプトが表示されます)。
わからないこと
調整ファイルを生成した後でも、新規インストールを実行すると、nousbのカーネルが取得されます。
私は本当にtailoring.xmlを正しい場所に置いていますか?
アドオンが何をしているかを診断するために使用できる詳細なログはありますか? (/var/log/anaconda/journal.logには本当に基本的な情報しかありません。)
何らかの理由で調整アプローチが失敗した場合、STIG自動構成を完全に破棄せずに、この問題の回避策を適用するためのクリーンで一貫した方法は何ですか? (たとえば、OSCAPがカーネル引数を壊した後、別のアドオンモジュールを使用してカーネル引数をクリーンアップできますか?)
tailoring-pathを追加する場合は、おそらくprofile行を更新する必要があります
tailoring-pathを定義しても、新しいルールが自動的に挿入されるわけではなく、検索階層に別のソースが追加されるだけです。実際に使用するには、元のプロファイルの代わりに名前で「調整された」プロファイルを呼び出す必要があります例:
%addon org_Fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end
調整されたプロファイル名は、ScapWorkbenchが保存時に作成するように指示する名前です。 「長い形式」は許容されます。仕立てファイルをテキストエディタで開いて直接コピーするだけです。
このOpenShiftブログ投稿 に基づいて、openSCAPをsyslogに記録するには、いくつかのパッケージをインストールする必要があります。
yum install html2text util-linux-ng
問題自体を回避するという点では、あなたが言及するチェックは基本的に次のことを行います。
sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\1\"\2 nousb\"/" /etc/default/grub
bootloader
/sbin/grubby --update-kernel=ALL --args="nousb"
したがって、デフォルトのgrubオプションからnousbを削除することで、その特定のルールのアクションを元に戻すことができます。
しかし、私はあなたの仕立てがうまくいかない理由について何も見つけることができないようです。 この投稿 しかし、あなたと同様の問題を報告しているようです、そして このRHソリューション -アクセスできる場合-役に立つかもしれません(私は表示するアカウントを持っていませんソリューション自体ですが、そのタイトルは「Satellite6でのOpenSCAP調整のサポート」です。
カスタマイズに関するOpenSCAPの公式ガイド ワークベンチのカスタマイズを次のように保存することをお勧めします:
ファイル→カスタマイズのみ保存。
注意すべき小さなことも1つあります( http://static.open-scap.org/scap-workbench-1.1/#_load_a_ready_made_customization_xccdf_tailoring_file_optional から):
XCCDF1.2のみが公式に調整をサポートします。 OpenSCAPプロジェクトには、XCCDF 1.1でファイルを調整できるようにする拡張機能があるため、SCAPWorkbenchもそれをサポートします。詳細はこのドキュメントの範囲外ですが、XCCDF1.1ファイルの調整はopenscap以外のスキャナーでは機能しない可能性があることに注意してください。