Red Hat Training

A Red Hat training course is available for RHEL 8

7.6. 创建修复 Ansible playbook,使系统与特定的基准一致

您可以创建一个 Ansible playbook,其只包含使您的系统与特定基准保持一致所需的修正。这个示例使用了健康保险可移植性和责任法案(HIPAA)配置文件。通过这个过程,您可以创建一个较小的 playbook ,其不包括已经满足的需求。按照以下步骤,您不需要以任何方式修改您的系统,您只需为后续应用程序准备一个文件。

注意

在 RHEL 8.6 中,Ansible Engine 被 ansible-core 软件包替代,该软件包只包含内置模块。请注意,很多 Ansible 补救使用社区和可移植操作系统接口(POSIX)集合中的模块,它们没有包含在内置模块中。在这种情况下,您可以使用 Bash 补救来作为 Ansible 补救的替代。RHEL 8.6 中的 Red Hat Connector 包括必要的 Ansible 模块,以使修复 playbook 与 Ansible Core 一起工作。

先决条件

  • scap-security-guide 软件包已安装。

流程

  1. 扫描系统并保存结果:

    # oscap xccdf eval --profile hipaa --results <hipaa-results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
  2. 在带有结果的文件中找到结果 ID 的值:

    # oscap info <hipaa-results.xml>
  3. 根据在第 1 步中生成的文件生成一个 Ansible playbook:

    # oscap xccdf generate fix --fix-type ansible --result-id <xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_hipaa> --output <hipaa-remediations.yml> <hipaa-results.xml>
  4. 查看生成的文件,其中包含在第 1 步中执行扫描过程中失败的规则的 Ansible 修复。查看生成的文件后,您可以使用 ansible-playbook <hipaa-remediations.yml> 命令应用该文件。

验证

  • 在您选择的文本编辑器中,检查生成的 <hipaa-remediations.yml> 文件是否包含在第 1 步中执行的扫描中失败的规则。

其它资源