Bonjour,

Alors pour avoir regarder ça de loin, le profil ANSSI tel qu'implémenté me semble un peu incomplet et est soumis à interprétation donc à prendre avec un grain de sel. Mais enfin ...

content-url, datastream et xccdf trois deux choses différentes: cf https://www.open-scap.org/tools/oscap-anaconda-addon/doc/ dans ton fichier 2 sur 3 sont identiques.

Pierre.
PS: J'en profite pour faire la pub sur mon petit projet qui débute : https://github.com/DraugurHundur/harde



On Wed, 19 May 2021 at 14:17, Jean-Yves LENHOF <jean-yves@lenhof.eu.org> wrote:
Bonjour,

Il semble possible de mettre en œuvre les préconisations de l'ANSSI au
niveau Linux directement au moment de l'installation via kickstart.
Le profil en question n'est pas encore inclus en version RHEL 8.3 mais
le sera avec la version RHEL 8.4 (cela apparait dans les notes de la
Beta)

L'idée que j'essaye de mettre en place est donc d'uploader les fichiers
de paramétrages de profil inclus dans la 8.4 sur un serveur web interne
et de demander au kickstart d'appliquer la configuration.
Cela semble prévu et je ne dois pas être loin du résultat mais je bloque
sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai
ouvert un ticket chez RedHat, il n'a pas encore été pris

Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me
ferait gagner un temps bien précieux...

Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes
:

%addon org_fedora_oscap
content-type = datastream
content-url =
http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml
datastream-id =
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
xccdf-id =
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced
fingerprint = 1c589833c561f5b66a91825f11c97a2d
%end

Une partie des arguments doit être bonne puisque l'installateur anaconda
fait des checks avant de commencer et ce n'est que lors de l'application
que j'ai un beau message "unknown error" avec un stack trace python
disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en
comprends.

Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le
package scap-security-guide trouvé dans la partie Stream de CentOS (à
mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé
l'IP du serveur web dans mon copier-coller ci-dessus.
https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html

A votre bon coeur, monsieur, dame,

Cordialement,


--
Jean-Yves LENHOF
jean-yves@lenhof.eu.org
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/