Como forçar o add-on SCAP do Anaconda a me permitir usar um teclado USB?

Navegue suas respostas
5

O problema

Estou criando uma imagem de instalação do RHEL 7.3 com um arquivo de kickstart personalizado.

Eu posso adicionar isso ao meu arquivo de kickstart para ativar a configuração do SCAP durante a instalação: 

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
%end

Quando o faço, no entanto, acabo com nousb no cmdline do meu kernel, o que desativa todas as interfaces USB, incluindo o teclado e o mouse.

(Eu fiz a mesma coisa antes com uma imagem do RHEL 7.2, e "apenas funciona", então eu sei que a abordagem básica é boa. Mas isso está usando um perfil de segurança mais antigo e, aparentemente, menos completo).

Agora, entendo perfeitamente por que: há uma regra que é especificamente configurá-lo . Preciso "adaptar" as regras para que a ferramenta SCAP não desative todos os meus dispositivos USB.

O que eu descobri até agora

De acordo com vermelho A documentação do kickstart do Hat e do site do OSCAP Anaconda , eu posso suspender este uma regra fornecendo meu próprio arquivo de alfaiataria:

tailoring-path - Path to a tailoring file which should be used, given as a relative path in the archive.

Então, eu corro scap-workbench, desabilito a regra afetada e salvo minhas alterações como um arquivo tailoring.xml

parcialcapturadeteladoscap-workbenchcomaregra"Desativar o suporte do kernel para USB via configuração do carregador de inicialização" desmarcada

Então, eu posso adicionar uma linha na configuração do kickstart, assim: 

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end

Com base em tentativa e erro, concluí que o arquivo tailoring.xml deve ser colocado em / root / openscap_data (caminhos absolutos absolutamente não funcionam - você recebe um prompt de depuração de parada de show durante instalação).

O que eu não consigo descobrir

Mesmo depois de gerar o arquivo de adaptação, ainda estou recebendo um kernel com nousb quando faço uma nova instalação.

  • Estou realmente colocando o tailoring.xml no lugar certo?

  • Existe um log detalhado que eu possa usar para diagnosticar o que o add-on está fazendo? (Encontrei apenas informações realmente básicas em /var/log/anaconda/journal.log.)

  • Se a abordagem de adaptação falhar por qualquer motivo, o que é uma maneira limpa e consistente de aplicar uma solução alternativa para esse problema, sem descartar completamente a configuração automática de STIG? (Por exemplo, posso usar outro módulo complementar para limpar meus argumentos de kernel depois que o OSCAP os quebra?)

por Alex P 22.03.2017 / 05:27

2 respostas

0

Se você adicionar um tailoring-path , provavelmente precisará atualizar a profile line

Definir tailoring-path não injeta automaticamente novas regras, apenas adiciona outra fonte à hierarquia de pesquisa. Para usá-lo de fato, você precisa invocar o perfil "sob medida" pelo nome , em vez do perfil original, por exemplo: 

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end

O nome do perfil sob medida é o nome que o Scap Workbench o orienta a criar quando você o salva. A "forma longa" é aceitável; você pode simplesmente abrir o arquivo de adaptação com um editor de texto e copiá-lo diretamente.

    
por 30.03.2017 / 17:02
1

Baseado em esta postagem no blog do OpenShift , você precisa instalar alguns pacotes para ter log openSCAP para syslog: 

yum install html2text util-linux-ng

Em termos de trabalho em torno do problema em si, o cheque mencionado refere-se basicamente ao seguinte: 

  sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\" nousb\"/" /etc/default/grub
bootloader
  /sbin/grubby --update-kernel=ALL --args="nousb"

Assim, você pode reverter as ações dessa regra específica removendo nousb das opções padrão do grub.

No entanto, não consigo encontrar nada sobre por que sua adaptação não está funcionando. Esta postagem parece, no entanto, relatar um problema semelhante ao seu e esta solução RH - se você tiver acesso - pode ser útil (não tenho uma conta para ver a solução em si, mas o título é "Suporte para OpenSCAP alfaiataria no Satellite 6 ").

Guia oficial do OpenSCAP sobre personalização sugere que você salve suas personalizações do Work Bench com:

File → Save customization only.

Uma pequena coisa a notar também (em link ):

Only XCCDF 1.2 supports tailoring officially. The OpenSCAP project has an extension that allows tailoring files to be used with XCCDF 1.1 so SCAP Workbench supports that as well. The details are out of scope of this document but keep in mind that tailoring of an XCCDF 1.1 file might not work with scanners other than openscap.

    
por 22.03.2017 / 08:57

Tags

Por que o log de eventos do aplicativo é limpo todas as noites? Como determinar a data e a hora da execução mais recente bem-sucedida do Windows Update no Windows Server 2016?