Red Hat Training
A Red Hat training course is available for RHEL 8
H.6.2. don org_fedora_oscap
El comando don org_fedora_oscap
Kickstart es opcional.
El complemento del programa de instalación OpenSCAP se utiliza para aplicar el contenido SCAP (Protocolo de Automatización de Contenido de Seguridad) - políticas de seguridad - en el sistema instalado. Este complemento ha sido habilitado por defecto desde Red Hat Enterprise Linux 7.2. Cuando se habilita, los paquetes necesarios para proporcionar esta funcionalidad se instalan automáticamente. Sin embargo, por defecto, no se aplican políticas, lo que significa que no se realizan comprobaciones durante o después de la instalación a menos que se configure específicamente.
La aplicación de una política de seguridad no es necesaria en todos los sistemas. Este comando sólo debe utilizarse cuando las normas de su organización o las regulaciones gubernamentales exijan una política específica.
A diferencia de la mayoría de los otros comandos, este complemento no acepta opciones regulares, sino que utiliza pares clave-valor en el cuerpo de la definición de don
. Estos pares son independientes del espacio en blanco. Los valores pueden ir opcionalmente entre comillas simples ('
) o dobles ("
).
Sintaxis
%addon org_fedora_oscap
key = value%end
Claves
El complemento reconoce las siguientes teclas:
content-type
- Tipo de contenido de seguridad. Los valores posibles sondatastream
,archive
,rpm
, yscap-security-guide
.Si el
content-type
esscap-security-guide
, el complemento utilizará el contenido proporcionado por el scap-security-guide que está presente en el soporte de arranque. Esto significa que todas las demás claves, exceptoprofile
, no tendrán ningún efecto.-
content-url
- Ubicación del contenido de seguridad. El contenido debe ser accesible mediante HTTP, HTTPS o FTP; actualmente no se admite el almacenamiento local. Debe haber una conexión de red disponible para llegar a las definiciones de contenido en una ubicación remota. -
datastream-id
- ID del flujo de datos al que se hace referencia en el valorcontent-url
. Sólo se utiliza sicontent-type
esdatastream
. -
xccdf-id
- ID del punto de referencia que desea utilizar. -
content-path
- Ruta de acceso al flujo de datos o al archivo XCCDF que debe utilizarse, dada como ruta relativa en el archivo. -
profile
- ID del perfil a aplicar. Utilicedefault
para aplicar el perfil por defecto. -
fingerprint
- Una suma de comprobación MD5, SHA1 o SHA2 del contenido referenciado porcontent-url
. -
tailoring-path
- Ruta de acceso a un archivo de adaptación que debe utilizarse, dada como ruta relativa en el archivo.
Ejemplos
El siguiente es un ejemplo de sección de
don org_fedora_oscap
que utiliza el contenido del scap-security-guide en el medio de instalación:Ejemplo H.1. Ejemplo de definición del complemento OpenSCAP mediante la guía de seguridad SCAP
%addon org_fedora_oscap
content-type = scap-security-guide profile = pci-dss%end
El siguiente es un ejemplo más complejo que carga un perfil personalizado desde un servidor web:
Ejemplo H.2. Ejemplo de definición de complemento de OpenSCAP utilizando un flujo de datos
%addon org_fedora_oscap
content-type = datastream content-url = http://www.example.com/scap/testing_ds.xml datastream-id = scap_example.com_datastream_testing xccdf-id = scap_example.com_cref_xccdf.xml profile = xccdf_example.com_profile_my_profile fingerprint = 240f2f18222faa98856c3b4fc50c4195%end
Recursos adicionales
- Encontrará más información sobre el complemento del programa de instalación OpenSCAP en https://www.open-scap.org/tools/oscap-anaconda-addon/.
- Para obtener más información sobre los perfiles disponibles en la guía de seguridad de SCAP y su función, consulte el portal OpenSCAP.