11.3. 配置 SCAP 内容
11.3.1. 导入 OpenSCAP Puppet 模块
如果不使用 Puppet 在主机上配置 OpenSCAP 审计,您可以跳过此过程。
若要使用 OpenSCAP 审计主机,您必须首先导入 Puppet 环境。Puppet 环境包含您必须分配到每一主机的 Puppet 类,以部署 OpenSCAP 配置。
您必须将要审计的每个主机与 Satellite Web UI 中的 Puppet 环境关联。
流程
- 在 Satellite Web UI 中,导航到 Configure > Environments。
- 单击 Import environments from satellite.example.com。
选中与您要审计的主机关联的 Puppet 环境复选框。
如果没有 Puppet 环境,请选中 production 环境复选框。默认情况下,您需要 OpenSCAP 的 Puppet 类位于 生产环境中。
- 单击 Update。
11.3.2. 加载默认 OpenSCAP 内容
在 CLI 中,使用以下方法之一加载默认 OpenSCAP 内容。
流程
使用 Hammer 命令:
# hammer scap-content bulk-upload --type default
(已弃用)使用
foreman-rake命令:# foreman-rake foreman_openscap:bulk_upload:default
11.3.3. 额外 SCAP 内容
您可以将额外的 SCAP 内容上传到卫星服务器中,无论是由自己创建的内容,还是在其他位置获取。在策略中应用 SCAP 内容之前,必须将 SCAP 内容导入到卫星服务器中。
例如,Red Hat Enterprise Linux 软件仓库中提供的 scap-security-guide RPM 软件包包括支付卡行业数据安全标准(PCI-DSS)版本 3 的配置集。您可以将此内容上传到 Satellite 服务器中,即使它没有运行 Red Hat Enterprise Linux,因为内容不特定于操作系统版本。
11.3.4. 上传额外 SCAP 内容
在 Satellite Web UI 中,上传额外的 SCAP 内容。要使用 CLI 而不是 Satellite Web UI,请参阅 CLI 流程。
流程
- 在 Satellite Web UI 中,导航到 Hosts > SCAP content,然后点 New SCAP Content。
在标题文本框中输入 标题。
示例:
RHEL 7.2 SCAP 内容.- 单击 Choose file,导航到包含 SCAP 内容文件的位置,然后选择 Open。
- 点 Submit。
如果成功载入 SCAP 内容文件,则会显示与 Successfully created RHEL 7.2 SCAP Content 类似的消息,并且 SCAP 内容 列表包含新的标题。
CLI 过程
要将 SCAP 内容上传到 Satellite 服务器,请输入以下命令:
# hammer scap-content bulk-upload \ --directory /usr/share/xml/scap/ssg/content/ \ --location "_My_Location_" \ --organization "_My_Organization_" \ --type directory
/usr/share/xml/scap/ssg/content/中的 SCAP 内容是scap-security-guide软件包的一部分。