Menu Close
Settings Close

Language and Page Formatting Options

B.6.2. %addon com_redhat_oscap

%addon com_redhat_oscap Kickstart 命令是可选的。

OpenSCAP 安装程序附加组件是用来在安装的系统中应用 SCAP(安全内容自动化协议)内容 - 安全策略。从 Red Hat Enterprise Linux 7.2 开始默认启用此附加组件。启用后,会自动安装提供这个功能的软件包。但默认情况下不会强制任何策略。这代表,除非特别指定,在安装过程中或安装后不会执行任何检查。

重要

不需要在所有系统中应用安全策略。只有在您的机构规则或政府法规强制某种策略时,才使用这个命令。

与大多数命令不同,此附加组件不接受常规选项,而是使用 %addon 定义正文中的键值对。这些键值对无法验证空白。值可以选择使用单引号 (') 或者双引号(")括起来。

Syntax

%addon com_redhat_oscap
key = value
%end

Keys

以下键可以被附加组件识别:

content-type

安全内容的类型。可能的值有 datastreamarchiverpmscap-security-guide

如果 content-typescap-security-guide,则附加组件将使用 scap-security-guide 软件包提供的内容,该内容存在于引导介质中。这意味着,除了 profile 外所有其他键都无效。

content-url
安全内容的位置。必须通过 HTTP、HTTPS 或者 FTP 访问该内容。必须有可用的网络连接方可访问远程位置中的内容定义。
datastream-id
content-url 值中引用的数据流的 ID。仅在 content-typedatastream 时使用。
xccdf-id
要使用的基准 ID。
content-path
应使用到 datastream 或 XCCDF 文件的路径,在归档中使用相对路径。
配置集
要应用的配置集 ID。使用 default 应用 default 配置文件。
fingerprint
content-url 引用的内容的 MD5、SHA1 或 SHA2 的校验和。
tailoring-path
应使用的定制文件的路径,在归档中作为相对路径指定。

示例

  • 以下是 %addon com_redhat_oscap 部分的示例,它使用安装介质的 scap-security-guide 中的内容:

    例 B.1. 使用 SCAP 安全指南的 OpenSCAP 附加组件定义示例

    %addon com_redhat_oscap
    content-type = scap-security-guide
    profile = xccdf_org.ssgproject.content_profile_pci-dss
    %end
  • 以下是从 web 服务器加载自定义配置集的复杂示例:

    例 B.2. 使用 Datastream 的 OpenSCAP 附加组件定义示例

    %addon com_redhat_oscap
    content-type = datastream
    content-url = http://www.example.com/scap/testing_ds.xml
    datastream-id = scap_example.com_datastream_testing
    xccdf-id = scap_example.com_cref_xccdf.xml
    profile =  xccdf_example.com_profile_my_profile
    fingerprint = 240f2f18222faa98856c3b4fc50c4195
    %end