[FRsAG] Profil ANSSI OSCAP sur RHEL 8.3 ds kickstart

2021-05-19 Par sujet Jean-Yves LENHOF 

Bonjour,

Il semble possible de mettre en œuvre les préconisations de l'ANSSI au 
niveau Linux directement au moment de l'installation via kickstart.
Le profil en question n'est pas encore inclus en version RHEL 8.3 mais 
le sera avec la version RHEL 8.4 (cela apparait dans les notes de la 
Beta)


L'idée que j'essaye de mettre en place est donc d'uploader les fichiers 
de paramétrages de profil inclus dans la 8.4 sur un serveur web interne 
et de demander au kickstart d'appliquer la configuration.
Cela semble prévu et je ne dois pas être loin du résultat mais je bloque 
sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai 
ouvert un ticket chez RedHat, il n'a pas encore été pris


Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me 
ferait gagner un temps bien précieux...


Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes 
:


%addon org_fedora_oscap
content-type = datastream
content-url = 
http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml
datastream-id = 
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
xccdf-id = 
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml

profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced
fingerprint = 1c589833c561f5b66a91825f11c97a2d
%end

Une partie des arguments doit être bonne puisque l'installateur anaconda 
fait des checks avant de commencer et ce n'est que lors de l'application 
que j'ai un beau message "unknown error" avec un stack trace python 
disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en 
comprends.


Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le 
package scap-security-guide trouvé dans la partie Stream de CentOS (à 
mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé 
l'IP du serveur web dans mon copier-coller ci-dessus.

https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html

A votre bon coeur, monsieur, dame,

Cordialement,


--
Jean-Yves LENHOF
jean-y...@lenhof.eu.org
___
Liste de diffusion du FRsAG
http://www.frsag.org/

Re: [FRsAG] Profil ANSSI OSCAP sur RHEL 8.3 ds kickstart

2021-05-19 Par sujet Pierre Blanchet 
Bonjour,

Alors pour avoir regarder ça de loin, le profil ANSSI tel qu'implémenté me
semble un peu incomplet et est soumis à interprétation donc à prendre avec
un grain de sel. Mais enfin ...

content-url, datastream et xccdf trois deux choses différentes: cf
https://www.open-scap.org/tools/oscap-anaconda-addon/doc/ dans ton fichier
2 sur 3 sont identiques.

Pierre.
PS: J'en profite pour faire la pub sur mon petit projet qui débute :
https://github.com/DraugurHundur/harde



On Wed, 19 May 2021 at 14:17, Jean-Yves LENHOF 
wrote:

> Bonjour,
>
> Il semble possible de mettre en œuvre les préconisations de l'ANSSI au
> niveau Linux directement au moment de l'installation via kickstart.
> Le profil en question n'est pas encore inclus en version RHEL 8.3 mais
> le sera avec la version RHEL 8.4 (cela apparait dans les notes de la
> Beta)
>
> L'idée que j'essaye de mettre en place est donc d'uploader les fichiers
> de paramétrages de profil inclus dans la 8.4 sur un serveur web interne
> et de demander au kickstart d'appliquer la configuration.
> Cela semble prévu et je ne dois pas être loin du résultat mais je bloque
> sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai
> ouvert un ticket chez RedHat, il n'a pas encore été pris
>
> Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me
> ferait gagner un temps bien précieux...
>
> Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes
> :
>
> %addon org_fedora_oscap
> content-type = datastream
> content-url =
> http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml
> datastream-id =
> scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
> xccdf-id =
> scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml
> profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced
> fingerprint = 1c589833c561f5b66a91825f11c97a2d
> %end
>
> Une partie des arguments doit être bonne puisque l'installateur anaconda
> fait des checks avant de commencer et ce n'est que lors de l'application
> que j'ai un beau message "unknown error" avec un stack trace python
> disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en
> comprends.
>
> Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le
> package scap-security-guide trouvé dans la partie Stream de CentOS (à
> mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé
> l'IP du serveur web dans mon copier-coller ci-dessus.
>
> https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html
>
> A votre bon coeur, monsieur, dame,
>
> Cordialement,
>
>
> --
> Jean-Yves LENHOF
> jean-y...@lenhof.eu.org
> ___
> Liste de diffusion du FRsAG
> http://www.frsag.org/
>
___
Liste de diffusion du FRsAG
http://www.frsag.org/