我正在尝试通过 chroot 会话执行 OpenSCAP 修复。我的命令结构如下:
oscap-chroot /mnt/chroot_fs \
xccdf eval \
--remediate \
--results results.xml \
--report report.html \
--profile xccdf_org.ssgproject.content_profile_cui \
ssg-rhel7-ds-1.2.xml
当命令执行时,它会成功执行扫描,并显示少量pass结果fail。然后,当它进入补救阶段时,它会显示:
--- Starting Remediation ---
OpenSCAP Error: Can't perform remediation in offline mode: not implemented [/builddir/build/BUILD/openscap-1.3.3/src/XCCDF/xccdf_session.c:1690]
目前无法通过 chroot 会话进行补救吗?如果不行,如何针对偏僻的目标?
答案1
答案是 Openscap 无法执行远程补救措施。oscap-chroot并且oscap-ssh仅用于扫描。据我所知,推荐的解决方案是使用oscap-chroot 生成的oscap xccdf generate fix文件results.xml。然后针对远程主机手动运行此补救脚本。