使用排除项自动修复无头 RHEL 8.9 AMI

我正在尝试自动修复无头 RHEL 8.9 AMI。修复的最佳方法是什么除特定子集的 STIG 要求外，其他所有要求？即，我们知道有 4 个 STIG 要求会破坏我们的构建，并且我们对它们有例外。换句话说，我如何补救除特定子集之外的所有 STIG 要求？这可能吗？

我曾考虑使用它sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig --results scan-xccdf-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml来生成 XML 格式的 XCCDF 文件，但通过 shell 或 python 编写 XML 修改脚本则很麻烦。

我也考虑过使用它sudo oscap xccdf generate fix --template urn:xccdf:fix:script:sh --profile xccdf_org.ssgproject.content_profile_stig --output test-remediation-script.sh /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml来生成补救脚本，然后以这种方式编写修改脚本。

但我不是第一个这样做的人。可以吗？一定有人以前做过这件事，而且不使用 UI？