我的 ubuntu 18.04 版 oscap 无法通过命令或 scap workbench 中的 gui 进行修复
oscap xccdf eval --remediate -profile profilename xmlfilename
这将检查并显示每个 STIG 配置的结果,但在命令输出的末尾,它显示
---starting remediation---
但从不进行补救
我需要 ubuntu advantage 订阅才能使用 oscap 吗?
答案1
您是否以提升的权限执行了该命令?
OSCAP 作为一个产品,对受保护的文件进行了各种更改,这意味着您需要以 的身份执行命令sudo。
编辑:由于您用整个命令和整个错误消息回复,最可能的原因是尚未针对该特定规则提供修复,您可以尝试忽略该规则的运行,这将有助于您生成补救措施。
答案2
您正在使用的 SCAP 文件 U_CAN_Ubuntu_18-04_V2R3_STIG_SCAP_1-2_Benchmark.xml 不包含任何补救措施。它仅包含 OVAL 检查,因此它只能检查配置,但无法在配置不正确时进行修复。
对于包含补救/修复的 SCAP 内容,您可以使用以下机构提供的内容https://github.com/ComplianceAsCode/content/
在发布页面(最新可用版本:https://github.com/ComplianceAsCode/content/releases/download/v0.1.57/scap-security-guide-0.1.57.zip)你应该能够下载适用于 Ubuntu 的数据流。但 STIG 配置文件仅适用于 Ubuntu20.04
然后你可以运行:
oscap xccdf eval --remediate --profile xccdf_org.ssgproject.content_profile_stig ssg-ubuntu2004-ds.xml
但请注意,这是一个社区驱动的项目,可能与 DISA 提供的内容不 100% 一致。