11.4. 管理合规策略
调度的审计也称为 合规策略,是检查指定主机对 XCCDF 配置集合规性的调度任务。扫描的计划由卫星服务器指定,扫描则在主机上执行。扫描完成后,会以 XML 格式生成 资产 报告文件(ARF)并上传到卫星服务器。您可以在合规策略仪表板中看到扫描结果。合规策略不会对扫描的主机进行任何更改。SCAP 内容包含多个带有相关规则的配置集,但默认情况下不包含策略。
11.4.1. 创建合规策略
使用 Satellite,您可以创建一个合规策略来扫描您的内容主机,以确保主机保持符合您的安全要求。
您可以使用 Puppet 或 Ansible 将合规策略部署到主机。请注意,Puppet 默认每 30 分钟运行一次。如果分配新策略,则下一个 Puppet 运行会将策略同步到主机。但是,Ansible 不执行调度的运行。若要添加新策略,您必须手动运行 Ansible 角色,或使用远程执行。有关远程执行的更多信息,请参阅 管理主机 中的配置和设置远程作业。
前提条件
在开始之前,您必须决定要使用 Puppet 还是 Ansible 部署。
- 对于 Puppet 部署,请确保您要审计的每个主机都与 Puppet 环境关联。更多信息请参阅 第 11.3.1 节 “导入 OpenSCAP Puppet 模块”。
-
对于 Ansible 部署,请确保导入
foreman.foreman_scap_clientAnsible 角色。有关导入 Ansible 角色的更多信息,请参阅 在 Red Hat Satellite 中使用 Ansible 集成管理配置 中的 Satellite 中的 Ansible 入门。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Policies,然后选择您要手动、Ansible 或 Puppet 部署。
- 输入此策略的名称,描述(可选),然后单击 Next。
选择要应用的 SCAP Content 和 XCCDF Profile,然后单击 Next。
请注意,openSCAP 插件不会检测 SCAP 内容角色没有内容,这意味着
Default XCCDF Profile可能会返回空报告。指定应用策略时的计划时间,然后单击下一步。
从 Period 列表中选择 Weekly、Monthly 或 Custom。
- 如果您选择 Weekly,还要从 Weekday 列表中选择所需的日期。
- 如果您选择 Monthly,在月的几天中指定所需的 日期。
如果您选择 Custom,请在 Cron line 字段中输入有效的 Cron 表达式。
Custom 选项允许在策略调度中比 Weekly 或 Monthly 选项提高灵活性。
- 选择要应用策略的位置,然后单击下一步。
- 选择要应用策略的组织,然后单击下一步。
- 选择要应用策略的主机组,然后单击 Submit。
当 Puppet 代理在属于所选主机组或策略的主机上运行时,将安装 OpenSCAP 客户端,并添加带有策略指定的调度的 Cron 作业。SCAP Content 选项卡提供 SCAP 内容文件的名称,该文件将分发到所有目标主机上的目录 /var/lib/openscap/content/。
11.4.2. 查看合规策略
您可以预览由特定 OpenSCAP 内容和配置集组合应用的规则。这在规划策略时很有用。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Policies。
- 在所需策略的 Actions 列中,点 Show Guide 或从列表中选择它。
11.4.3. 编辑合规策略
在 Satellite Web UI 中,您可以编辑合规策略。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Policies。
- 从策略名称右侧的下拉列表中,选择 Edit。
- 编辑必要的属性。
- 点 Submit。
当 Puppet 代理与卫星服务器进行更新检查时,将编辑的策略应用到主机。默认情况下,每 30 分钟发生一次。
11.4.4. 删除合规策略
在 Satellite Web UI 中,您可以删除现有的合规策略。
流程
- 在 Satellite Web UI 中,导航到 Hosts > Policies。
- 从策略名称右侧的下拉列表中,选择 Delete。
- 在确认信息中点 OK。