测试xccdf_org.ssgproject.content_rule_postfix_client_configure_mail_alias专门寻找in ,OpenSCAP 补救措施会自动添加。要解决的真正问题是确保为根电子邮件设置了一个活动的电子邮件地址,但在实施过程中,我无法将其设置为我监控的地址,并且仍然无法通过测试。root: [email protected]/etc/aliases
有没有我不知道的方法来修改这种行为?我可以完全定制测试,但我宁愿不这样做,因为看起来这个测试的目的应该能够得到满足。
答案1
电子邮件地址是一个变量。您需要创建一个所谓的定制文件,在其中为该变量设置不同的值。然后,当您运行目标系统的扫描时,您将把定制文件与 SCAP 源数据流一起传递给 oscap 命令。
可以使用 SCAP Workbench GUI 实用程序、openscap-utils 包提供的自动定制脚本或文本编辑器手动创建定制文件。
在 SCAP Workbench 中,加载您的 SCAP 源数据流,在配置文件下拉框中选择配置文件,单击自定义按钮(配置文件下拉框旁边)。创建一个新的配置文件 ID。单击确定。将出现一个新窗口。将 var_postfix_root_mail_alias 放入窗口顶部的搜索框中,然后单击搜索。在窗口右侧的修改值下,修改电子邮件地址。单击确定。它将返回主窗口。然后,单击文件,然后单击仅保存自定义并将文件保存在某处,例如,保存到 sewing.xml。
定制文件可能如下所示:https://paste.centos.org/view/d2a488b0,请注意 <xccdf:set-value idref="xccdf_org.ssgproject.content_value_var_postfix_root_mail_alias">[电子邮件保护]</xccdf:set-value> 在那里。
使用 autotailor 脚本,您可以在命令行上生成定制文件。例如,如果您想为 RHEL 9 STIG 配置文件创建它,您可以运行:autotailor -v var_postfix_root_mail_alias='[电子邮件保护]' -o 定制.xml -p 定制的 /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml xccdf_org.ssgproject.content_profile_stig。
然后,当您使用 oscap 命令时,您将使用 --tailoring-file sewing.xml 选项传递生成的定制文件,并且您将使用 --profile Customized 来选择包含修改后的电子邮件地址的定制配置文件。
在使用 oscap 命令定制文件时,一个常见的错误是使用原始配置文件的 ID。您需要将自定义配置文件的 ID 传递给 oscap 命令。
修改的变量也会修改 bash 补救措施。