Bonjour, Alors pour avoir regarder ça de loin, le profil ANSSI tel qu'implémenté me semble un peu incomplet et est soumis à interprétation donc à prendre avec un grain de sel. Mais enfin ...
content-url, datastream et xccdf trois deux choses différentes: cf https://www.open-scap.org/tools/oscap-anaconda-addon/doc/ dans ton fichier 2 sur 3 sont identiques. Pierre. PS: J'en profite pour faire la pub sur mon petit projet qui débute : https://github.com/DraugurHundur/harde On Wed, 19 May 2021 at 14:17, Jean-Yves LENHOF <jean-y...@lenhof.eu.org> wrote: > Bonjour, > > Il semble possible de mettre en œuvre les préconisations de l'ANSSI au > niveau Linux directement au moment de l'installation via kickstart. > Le profil en question n'est pas encore inclus en version RHEL 8.3 mais > le sera avec la version RHEL 8.4 (cela apparait dans les notes de la > Beta) > > L'idée que j'essaye de mettre en place est donc d'uploader les fichiers > de paramétrages de profil inclus dans la 8.4 sur un serveur web interne > et de demander au kickstart d'appliquer la configuration. > Cela semble prévu et je ne dois pas être loin du résultat mais je bloque > sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai > ouvert un ticket chez RedHat, il n'a pas encore été pris > > Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me > ferait gagner un temps bien précieux... > > Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes > : > > %addon org_fedora_oscap > content-type = datastream > content-url = > http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml > datastream-id = > scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml > xccdf-id = > scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml > profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced > fingerprint = 1c589833c561f5b66a91825f11c97a2d > %end > > Une partie des arguments doit être bonne puisque l'installateur anaconda > fait des checks avant de commencer et ce n'est que lors de l'application > que j'ai un beau message "unknown error" avec un stack trace python > disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en > comprends. > > Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le > package scap-security-guide trouvé dans la partie Stream de CentOS (à > mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé > l'IP du serveur web dans mon copier-coller ci-dessus. > > https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html > > A votre bon coeur, monsieur, dame, > > Cordialement, > > > -- > Jean-Yves LENHOF > jean-y...@lenhof.eu.org > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ >
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
