Как заставить дополнение SCAP Anaconda разрешить мне использовать USB-клавиатуру?
Эта проблема
Я создаю установочный образ RHEL 7.3 с пользовательским файлом кикстарта.
Я могу добавить это в свой файл кикстарта, чтобы включить настройку SCAP во время установки:
%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
%end
Однако когда я это делаю, nousb в моем ядре cmdline, который отключает все интерфейсы USB, включая клавиатуру и мышь.
(Я делал то же самое раньше с образом RHEL 7.2, и он "просто работает", поэтому я знаю, что основной подход - это звук. Но при этом используется более старый и, по-видимому, менее полный профиль безопасности.)
Теперь я полностью понимаю, почему: есть правило, которое специально его устанавливает. Мне нужно "адаптировать" правила, чтобы инструмент SCAP не отключал все мои USB-устройства.
Что я понял до сих пор
Согласно документации кикстарта Red Hat и сайту OSCAP Anaconda, я могу приостановить действие этого единственного правила, предоставив свой собственный файл настройки:
tailoring-path - Путь к файлу адаптации, который следует использовать, который указывается как относительный путь в архиве.
Итак, я запускаю scap-workbench, отключаю уязвимое правило и сохраняю свои изменения как файл tailoring.xml
Затем я могу добавить строку в конфигурацию кикстарта, например так:
%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end
Основываясь на методе проб и ошибок, я также пришел к выводу, что файл tailoring.xml должен быть помещен в / root / openscap_data (абсолютные пути абсолютно не работают - вы получаете заметное приглашение отладки при остановке во время установки).
Что я не могу понять
Даже после генерации файла настройки я все еще получаю ядро с nousb когда я делаю новую установку.
Действительно ли я помещаю файл tailoring.xml в нужное место?
Можно ли использовать подробный журнал для диагностики того, что делает надстройка? (Я нашел только действительно основную информацию в /var/log/anaconda/journal.log.)
Если адаптивный подход по какой-либо причине просто терпит неудачу, каков чистый и последовательный способ применить обходной путь для этой проблемы, не исключая автоконфигурацию STIG вообще? (Например, могу ли я использовать другой дополнительный модуль для очистки моих аргументов ядра после того, как OSCAP их нарушит?)
2 ответа
Если вы добавите tailoring-pathвам, вероятно, нужно обновить profile линия
определяющий tailoring-path не вводит автоматически новые правила, он просто добавляет другой источник в иерархию поиска. Чтобы фактически использовать его, вам нужно вызвать "настроенный" профиль по имени вместо исходного профиля, например:
%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end
Имя адаптированного профиля - это имя, которое Scap Workbench указывает вам создать при сохранении. "Длинная форма" приемлема; Вы можете просто открыть файл настройки с помощью текстового редактора и скопировать его напрямую.
Основываясь на этом сообщении в блоге OpenShift, вам нужно установить несколько пакетов, чтобы иметь журнал openSCAP в syslog:
yum install html2text util-linux-ng
С точки зрения обхода самой проблемы, упомянутая вами проверка в основном делает следующее:
sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\1\"\2 nousb\"/" /etc/default/grub
bootloader
/sbin/grubby --update-kernel=ALL --args="nousb"
Таким образом, вы можете отменить действия этого конкретного правила, удалив nousb из параметров grub по умолчанию.
Однако я не могу ничего найти о том, почему ваш пошив не работает. Однако в этом посте, похоже, сообщается о подобной проблеме, и это решение RH - если у вас есть доступ - может быть полезным (у меня нет учетной записи для просмотра самого решения, но его заголовок "Поддержка адаптации OpenSCAP в Спутник 6").
Официальное руководство по настройке OpenSCAP предлагает вам сохранить настройки Work Bench с помощью:
Файл → Сохранить только настройки.
Также следует отметить одну небольшую вещь (из http://static.open-scap.org/scap-workbench-1.1/):
Только XCCDF 1.2 официально поддерживает пошив. Проект OpenSCAP имеет расширение, позволяющее настраивать файлы для использования с XCCDF 1.1, поэтому SCAP Workbench также поддерживает это. Детали выходят за рамки этого документа, но имейте в виду, что адаптация файла XCCDF 1.1 может не работать со сканерами, кроме openscap.