Come faccio a forzare l'aggiunta di SCAP di Anaconda per consentirmi di utilizzare una tastiera USB?

Il problema

Sto creando un'image di installazione RHEL 7.3 con un file kickstart personalizzato.

Posso aggiungere questo al mio file kickstart per triggersre la configuration SCAP durante l'installazione:

  • Come distriggersre la verifica del certificato SSL per il download di RedHat Kickstartfile
  • Come creare un supporto di avvio RHEL / CentOS che carica automaticamente kickstart dalla networking?
  • Creazione di Fedora USB avviabile con storage persistente
  • Latenza su un piccolo sistema client / server Linux NFS4
  • CentOS 7 Kickstart - Software RAID 10 e LVM
  • Come posso rispondere alla richiesta di "scansione di un altro CD" durante l'installazione di Debian con preseed?
  • %addon org_fedora_oscap content-type = scap-security-guide profile = stig-rhel7-server-gui-upstream %end 

    Quando faccio, tuttavia, mi concludo con nousb nel cmdline del mio kernel, che distriggers tutte le interfacce USB, tra cui tastiera e mouse.

    (Ho fatto la stessa cosa prima con un'image RHEL 7.2 e "funziona solo", quindi so che l'approccio di base è il suono, ma questo sta utilizzando un profilo di sicurezza più vecchio e apparentemente less completo.)

    Ora, capisco perfettamente perché: c'è una regola che lo specifica specificamente . Devo "adattare" le regole in modo che lo strumento SCAP non disattivi tutti i miei dispositivi USB.

    Quello che ho finora capito

    Secondo la documentazione di kickstart di Red Hat e il sito OSCAP Anaconda , posso sospendere questa regola fornendo il mio file di sartoria:

    path di sartoria – Percorso a un file di taglio che dovrebbe essere utilizzato, dato come path relativo nell'archivio.

    Quindi, eseguire scap-workbench, distriggersre la regola interessata e salvare le mie modifiche come file tailoring.xml

    parziale schermata di scap-workbench con la regola "Disabilita il supporto del kernel per USB tramite la configurazione del bootloader" non selezionato

    Quindi, posso aggiungere una row al config kickstart, come questo:

     %addon org_fedora_oscap content-type = scap-security-guide profile = stig-rhel7-server-gui-upstream tailoring-path = ssg-rhel7-ds-tailoring.xml %end 

    Sulla base di un trial e di un errore, ho anche concluso che il file tailoring.xml deve essere inserito in / root / openscap_data (i routes assoluti non funzionano assolutamente: durante l'installazione viene visualizzato un messaggio di debug di notevole proibizione).

    Quello che non riesco a capire

    Anche dopo aver generato il file di sartoria, sto ancora ottenendo un kernel con nousb quando faccio una nuova installazione.

    • Sto davvero mettendo il tailoring.xml nel posto giusto?

    • C'è un log dettagliato che posso usare per diagnosticare ciò che fa l'add-on? (Ho trovato solo informazioni fondamentali in /var/log/anaconda/journal.log.)

    • Se l'approccio di sartoria non riesce per qualunque ragione, quale è un modo pulito e coerente per applicare una soluzione per questo problema senza lanciare completamente la configuration automatica di STIG? (Ad esempio, posso utilizzare un altro module aggiuntivo per ripulire i miei argomenti del kernel dopo che OSCAP li interrompe?)

  • kickstart solo su HTTPS
  • Come posso passare gli argomenti dalla row di command PXE a un kickstart% pre,% script post?
  • Suggerimenti per ottimizzare il stream di lavoro kickstart RHEL / CentOS
  • Come creare un supporto di avvio RHEL / CentOS che carica automaticamente kickstart dalla networking?
  • Kickoff Playbook compatibile dopo l'installazione di Cobbler
  • Installazione Kickstart da USB - posizione Kickstart
  • 2 Solutions collect form web for “Come faccio a forzare l'aggiunta di SCAP di Anaconda per consentirmi di utilizzare una tastiera USB?”

    Sulla base di questo post di blog di OpenShift , è necessario installare alcuni pacchetti per avere il log openSCAP a syslog:

     yum install html2text util-linux-ng 

    In termini di lavoro intorno al problema stesso, il controllo che si parla in sostanza esegue i seguenti:

      sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\1\"\2 nousb\"/" /etc/default/grub bootloader /sbin/grubby --update-kernel=ALL --args="nousb" 

    Quindi puoi ripristinare le azioni di una particolare regola rimuovendola dalle opzioni predefinite di grub.

    Non riesco tuttavia a trovare qualche cosa perchè il tuo sartoria non funziona. Questo post sembra tuttavia segnalare un problema simile al tuo, e questa soluzione RH – se si ha accesso – potrebbe essere utile (non ho un account per visualizzare la soluzione stessa, ma il suo titolo è "Supporto per OpenSCAP sartoria in Satellite 6 ").

    La guida ufficiale di OpenSCAP sulla personalizzazione suggerisce di assicurarvi di salvare le personalizzazioni del Work Bench con:

    File → Salva solo la personalizzazione.

    Una piccola cosa da notare, anche (da http://static.open-scap.org/scap-workbench-1.1/#_load_a_ready_made_customization_xccdf_tailoring_file_optional ):

    Solo XCCDF 1.2 support sartoria ufficialmente. Il progetto OpenSCAP ha un'estensione che consente di utilizzare i file per l'utilizzo di file con XCCDF 1.1, in modo che SCAP Workbench supporti anche questo. I dettagli non rientrano nel field del presente documento, ma tenere presente che la creazione di un file XCCDF 1.1 potrebbe non funzionare con scanner diversi da openscap.

    Se si aggiunge un tailoring-path , è probabile che sia necessario aggiornare la linea di profile

    La definizione tailoring-path non inietta automaticamente nuove regole, basta aggiungere un'altra origine alla gerarchia di ricerca. Per utilizzarlo effettivamente, devi ricall il profilo "personalizzato" per nome , anziché il profilo originale, ad esempio:

     %addon org_fedora_oscap content-type = scap-security-guide profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS tailoring-path = ssg-rhel7-ds-tailoring.xml %end 

    Il nome del profilo personalizzato è il nome Scap Workbench che ti indica per creare quando lo salvi. La "forma lunga" è accettabile; è ansible aprire il file di ritaglio con un editor di text e copiarlo direttamente.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.