Menu Close
Settings Close

Language and Page Formatting Options

8.6. 创建修复 Ansible playbook,使系统与特定的基准一致

您可以创建一个 Ansible playbook,其只包含使您的系统与特定基准保持一致所需的修正。这个示例使用了健康保险可移植性和责任法案(HIPAA)配置文件。通过这个过程,您可以创建一个较小的 playbook ,其不包括已经满足的需求。按照以下步骤,您不需要以任何方式修改您的系统,您只需为后续应用程序准备一个文件。

注意

在 RHEL 9 中,Ansible Engine 被 ansible-core 软件包替代,该软件包只包含内置模块。请注意,很多 Ansible 补救使用社区和可端口操作系统接口(POSIX)集合中的模块,它们没有包含在内置模块中。在这种情况下,您可以使用 Bash 补救来替代 Ansible 补救。RHEL 9.0 中的红帽连接器包括必要的 Ansible 模块,以启用修复 playbook 以使用 Ansible Core 运行。

先决条件

  • 已安装 scap-security-guide 软件包。

步骤

  1. 扫描系统并保存结果:

    # oscap xccdf eval --profile hipaa --results hipaa-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
  2. 根据上一步中生成的文件生成一个 Ansible playbook:

    # oscap xccdf generate fix --fix-type ansible --profile hipaa --output hipaa-remediations.yml hipaa-results.xml
  3. hipaa-remediations.yml 文件包含对步骤 1 中扫描执行过程中失败的规则的 Ansible 修复。检查生成的文件后,您可以使用 ansible-playbook hipaa-remediations.yml 命令应用该文件。

验证

  • 在您选择的文本编辑器中,检查 hipaa-remediations.yml 文件是否包含在第 1 步中执行的扫描中失败的规则。

其他资源