Red Hat Training

A Red Hat training course is available for RHEL 8

H.6.2. don org_fedora_oscap

El comando don org_fedora_oscap Kickstart es opcional.

El complemento del programa de instalación OpenSCAP se utiliza para aplicar el contenido SCAP (Protocolo de Automatización de Contenido de Seguridad) - políticas de seguridad - en el sistema instalado. Este complemento ha sido habilitado por defecto desde Red Hat Enterprise Linux 7.2. Cuando se habilita, los paquetes necesarios para proporcionar esta funcionalidad se instalan automáticamente. Sin embargo, por defecto, no se aplican políticas, lo que significa que no se realizan comprobaciones durante o después de la instalación a menos que se configure específicamente.

Importante

La aplicación de una política de seguridad no es necesaria en todos los sistemas. Este comando sólo debe utilizarse cuando las normas de su organización o las regulaciones gubernamentales exijan una política específica.

A diferencia de la mayoría de los otros comandos, este complemento no acepta opciones regulares, sino que utiliza pares clave-valor en el cuerpo de la definición de don. Estos pares son independientes del espacio en blanco. Los valores pueden ir opcionalmente entre comillas simples (') o dobles (").

Sintaxis

%addon org_fedora_oscap
key = value
%end

Claves

El complemento reconoce las siguientes teclas:

  • content-type - Tipo de contenido de seguridad. Los valores posibles son datastream, archive, rpm, y scap-security-guide.

    Si el content-type es scap-security-guide, el complemento utilizará el contenido proporcionado por el scap-security-guide que está presente en el soporte de arranque. Esto significa que todas las demás claves, excepto profile, no tendrán ningún efecto.

  • content-url - Ubicación del contenido de seguridad. El contenido debe ser accesible mediante HTTP, HTTPS o FTP; actualmente no se admite el almacenamiento local. Debe haber una conexión de red disponible para llegar a las definiciones de contenido en una ubicación remota.
  • datastream-id - ID del flujo de datos al que se hace referencia en el valor content-url. Sólo se utiliza si content-type es datastream.
  • xccdf-id - ID del punto de referencia que desea utilizar.
  • content-path - Ruta de acceso al flujo de datos o al archivo XCCDF que debe utilizarse, dada como ruta relativa en el archivo.
  • profile - ID del perfil a aplicar. Utilice default para aplicar el perfil por defecto.
  • fingerprint - Una suma de comprobación MD5, SHA1 o SHA2 del contenido referenciado por content-url.
  • tailoring-path - Ruta de acceso a un archivo de adaptación que debe utilizarse, dada como ruta relativa en el archivo.

Ejemplos

  • El siguiente es un ejemplo de sección de don org_fedora_oscap que utiliza el contenido del scap-security-guide en el medio de instalación:

    Ejemplo H.1. Ejemplo de definición del complemento OpenSCAP mediante la guía de seguridad SCAP

    %addon org_fedora_oscap
content-type = scap-security-guide
profile = pci-dss
%end

  • El siguiente es un ejemplo más complejo que carga un perfil personalizado desde un servidor web:

    Ejemplo H.2. Ejemplo de definición de complemento de OpenSCAP utilizando un flujo de datos

    %addon org_fedora_oscap
content-type = datastream
content-url = http://www.example.com/scap/testing_ds.xml
datastream-id = scap_example.com_datastream_testing
xccdf-id = scap_example.com_cref_xccdf.xml
profile =  xccdf_example.com_profile_my_profile
fingerprint = 240f2f18222faa98856c3b4fc50c4195
%end

Recursos adicionales