Bonjour,
Il semble possible de mettre en œuvre les préconisations de l'ANSSI au niveau Linux directement au moment de l'installation via kickstart. Le profil en question n'est pas encore inclus en version RHEL 8.3 mais le sera avec la version RHEL 8.4 (cela apparait dans les notes de la Beta)
L'idée que j'essaye de mettre en place est donc d'uploader les fichiers de paramétrages de profil inclus dans la 8.4 sur un serveur web interne et de demander au kickstart d'appliquer la configuration. Cela semble prévu et je ne dois pas être loin du résultat mais je bloque sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai ouvert un ticket chez RedHat, il n'a pas encore été pris
Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me ferait gagner un temps bien précieux...
Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes :
%addon org_fedora_oscap content-type = datastream content-url = http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml datastream-id = scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml xccdf-id = scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced fingerprint = 1c589833c561f5b66a91825f11c97a2d %end
Une partie des arguments doit être bonne puisque l'installateur anaconda fait des checks avant de commencer et ce n'est que lors de l'application que j'ai un beau message "unknown error" avec un stack trace python disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en comprends.
Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le package scap-security-guide trouvé dans la partie Stream de CentOS (à mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé l'IP du serveur web dans mon copier-coller ci-dessus. https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide...
A votre bon coeur, monsieur, dame,
Cordialement,
-- Jean-Yves LENHOF jean-yves@lenhof.eu.org
Bonjour,
Alors pour avoir regarder ça de loin, le profil ANSSI tel qu'implémenté me semble un peu incomplet et est soumis à interprétation donc à prendre avec un grain de sel. Mais enfin ...
content-url, datastream et xccdf trois deux choses différentes: cf https://www.open-scap.org/tools/oscap-anaconda-addon/doc/ dans ton fichier 2 sur 3 sont identiques.
Pierre. PS: J'en profite pour faire la pub sur mon petit projet qui débute : https://github.com/DraugurHundur/harde
On Wed, 19 May 2021 at 14:17, Jean-Yves LENHOF jean-yves@lenhof.eu.org wrote:
Bonjour,
Il semble possible de mettre en œuvre les préconisations de l'ANSSI au niveau Linux directement au moment de l'installation via kickstart. Le profil en question n'est pas encore inclus en version RHEL 8.3 mais le sera avec la version RHEL 8.4 (cela apparait dans les notes de la Beta)
L'idée que j'essaye de mettre en place est donc d'uploader les fichiers de paramétrages de profil inclus dans la 8.4 sur un serveur web interne et de demander au kickstart d'appliquer la configuration. Cela semble prévu et je ne dois pas être loin du résultat mais je bloque sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai ouvert un ticket chez RedHat, il n'a pas encore été pris
Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me ferait gagner un temps bien précieux...
Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes :
%addon org_fedora_oscap content-type = datastream content-url = http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml datastream-id = scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml xccdf-id = scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced fingerprint = 1c589833c561f5b66a91825f11c97a2d %end
Une partie des arguments doit être bonne puisque l'installateur anaconda fait des checks avant de commencer et ce n'est que lors de l'application que j'ai un beau message "unknown error" avec un stack trace python disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en comprends.
Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le package scap-security-guide trouvé dans la partie Stream de CentOS (à mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé l'IP du serveur web dans mon copier-coller ci-dessus.
https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide...
A votre bon coeur, monsieur, dame,
Cordialement,
-- Jean-Yves LENHOF jean-yves@lenhof.eu.org _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
Jean-Yves LENHOF -
Pierre Blanchet