11.4. 管理合规策略

调度的审计也称为 合规策略,是检查指定主机对 XCCDF 配置集合规性的调度任务。扫描的计划由卫星服务器指定,扫描则在主机上执行。扫描完成后,会以 XML 格式生成 资产 报告文件(ARF)并上传到卫星服务器。您可以在合规策略仪表板中看到扫描结果。合规策略不会对扫描的主机进行任何更改。SCAP 内容包含多个带有相关规则的配置集,但默认情况下不包含策略。

11.4.1. 创建合规策略

使用 Satellite,您可以创建一个合规策略来扫描您的内容主机,以确保主机保持符合您的安全要求。

您可以使用 Puppet 或 Ansible 将合规策略部署到主机。请注意,Puppet 默认每 30 分钟运行一次。如果分配新策略,则下一个 Puppet 运行会将策略同步到主机。但是,Ansible 不执行调度的运行。若要添加新策略,您必须手动运行 Ansible 角色,或使用远程执行。有关远程执行的更多信息,请参阅 管理主机 中的配置和设置远程作业

前提条件

在开始之前,您必须决定要使用 Puppet 还是 Ansible 部署。

流程

  1. 在 Satellite Web UI 中,导航到 Hosts > Policies,然后选择您要手动、Ansible 或 Puppet 部署。
  2. 输入此策略的名称,描述(可选),然后单击 Next
  3. 选择要应用的 SCAP Content 和 XCCDF Profile,然后单击 Next

    请注意,openSCAP 插件不会检测 SCAP 内容角色没有内容,这意味着 Default XCCDF Profile 可能会返回空报告。

  4. 指定应用策略时的计划时间,然后单击下一步

    Period 列表中选择 WeeklyMonthlyCustom

    • 如果您选择 Weekly,还要从 Weekday 列表中选择所需的日期。
    • 如果您选择 Monthly,在月的几天中指定所需的 日期
    • 如果您选择 Custom,请在 Cron line 字段中输入有效的 Cron 表达式。

      Custom 选项允许在策略调度中比 WeeklyMonthly 选项提高灵活性。

  5. 选择要应用策略的位置,然后单击下一步
  6. 选择要应用策略的组织,然后单击下一步
  7. 选择要应用策略的主机组,然后单击 Submit

当 Puppet 代理在属于所选主机组或策略的主机上运行时,将安装 OpenSCAP 客户端,并添加带有策略指定的调度的 Cron 作业。SCAP Content 选项卡提供 SCAP 内容文件的名称,该文件将分发到所有目标主机上的目录 /var/lib/openscap/content/

11.4.2. 查看合规策略

您可以预览由特定 OpenSCAP 内容和配置集组合应用的规则。这在规划策略时很有用。

流程

  1. 在 Satellite Web UI 中,导航到 Hosts > Policies
  2. 在所需策略的 Actions 列中,点 Show Guide 或从列表中选择它。

11.4.3. 编辑合规策略

在 Satellite Web UI 中,您可以编辑合规策略。

流程

  1. 在 Satellite Web UI 中,导航到 Hosts > Policies
  2. 从策略名称右侧的下拉列表中,选择 Edit
  3. 编辑必要的属性。
  4. Submit

当 Puppet 代理与卫星服务器进行更新检查时,将编辑的策略应用到主机。默认情况下,每 30 分钟发生一次。

11.4.4. 删除合规策略

在 Satellite Web UI 中,您可以删除现有的合规策略。

流程

  1. 在 Satellite Web UI 中,导航到 Hosts > Policies
  2. 从策略名称右侧的下拉列表中,选择 Delete
  3. 在确认信息中点 OK