7.5. 使用 SSG Ansible playbook 修复系统以与特定基准保持一致
您可以使用 SCAP 安全指南项目中的 Ansible playbook 文件修复您的系统,使其与特定的基准保持一致。本例使用 Health Insurance Portability and Accountability Act (HIPAA)配置文件,但您可以进行修复,以与 SCAP 安全指南提供的任何其他配置集保持一致。有关列出可用配置文件的详情,请查看 查看配置合规的配置文件 部分。
警告
如果不小心使用,在启用了 Remediate
选项的情况下运行系统评估可能会导致系统无法正常工作。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。在 RHEL 系统上的默认配置中支持修复。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。
先决条件
-
scap-security-guide
软件包已安装。 -
ansible-core
软件包已安装。如需更多信息,请参阅 Ansible 安装指南。
注意
在 RHEL 8.6 及更高版本中,Ansible Engine 被 ansible-core
软件包替代,该软件包仅包含内置模块。请注意,很多 Ansible 补救使用社区和可移植操作系统接口(POSIX)集合中的模块,它们没有包含在内置模块中。在这种情况下,您可以使用 Bash 补救来作为 Ansible 补救的替代。RHEL 9 中的 Red Hat Connector 包括必要的 Ansible 模块,以使修复 playbook 与 Ansible Core 一起工作。
流程
使用 Ansible 修复您的系统,使其与 HIPAA 一致:
# ansible-playbook -i localhost, -c local /usr/share/scap-security-guide/ansible/rhel9-playbook-hipaa.yml
- 重新启动系统。
验证
使用 HIPAA 配置文件评估系统的合规性,并将扫描结果保存在
hipaa_report.html
文件中:# oscap xccdf eval --profile hipaa --report hipaa_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
其他资源
-
scap-security-guide(8)
和oscap(8)
手册页 - Ansible 文档