[FRsAG] Profil ANSSI OSCAP sur RHEL 8.3 ds kickstart

Jean-Yves LENHOF jean-yves at lenhof.eu.org
Mer 19 Mai 14:16:39 CEST 2021


Bonjour,

Il semble possible de mettre en œuvre les préconisations de l'ANSSI au 
niveau Linux directement au moment de l'installation via kickstart.
Le profil en question n'est pas encore inclus en version RHEL 8.3 mais 
le sera avec la version RHEL 8.4 (cela apparait dans les notes de la 
Beta)

L'idée que j'essaye de mettre en place est donc d'uploader les fichiers 
de paramétrages de profil inclus dans la 8.4 sur un serveur web interne 
et de demander au kickstart d'appliquer la configuration.
Cela semble prévu et je ne dois pas être loin du résultat mais je bloque 
sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai 
ouvert un ticket chez RedHat, il n'a pas encore été pris

Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me 
ferait gagner un temps bien précieux...

Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes 
:

%addon org_fedora_oscap
content-type = datastream
content-url = 
http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml
datastream-id = 
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
xccdf-id = 
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced
fingerprint = 1c589833c561f5b66a91825f11c97a2d
%end

Une partie des arguments doit être bonne puisque l'installateur anaconda 
fait des checks avant de commencer et ce n'est que lors de l'application 
que j'ai un beau message "unknown error" avec un stack trace python 
disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en 
comprends.

Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le 
package scap-security-guide trouvé dans la partie Stream de CentOS (à 
mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé 
l'IP du serveur web dans mon copier-coller ci-dessus.
https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html

A votre bon coeur, monsieur, dame,

Cordialement,


--
Jean-Yves LENHOF
jean-yves at lenhof.eu.org


Plus d'informations sur la liste de diffusion FRsAG