我的 oscap for ubuntu 18.04 無法使用指令或透過 scap 工作台的 GUI 進行修復
oscap xccdf eval --remediate -profile profilename xmlfilename
這會檢查並顯示每個 STIG 配置的結果,但在命令輸出結束時顯示
---starting remediation---
但從未執行補救措施
我是否需要 ubuntu Advantage 訂閱才能使 oscap 正常運作?
答案1
您是否以提升的權限執行了該指令?
OSCAP 作為產品會對受保護的文件進行各種更改,這意味著您需要以sudo.
編輯:由於您回覆了整個命令和整個錯誤訊息,最可能的原因是尚未為該特定規則提供修復程序,您可以嘗試忽略該規則的運行,這將幫助您產生補救措施。
答案2
您使用的 SCAP 檔案 U_CAN_Ubuntu_18-04_V2R3_STIG_SCAP_1-2_Benchmark.xml 不包含任何補救措施。它僅包含 OVAL 檢查,因此它只能檢查配置,但不能修復配置錯誤。
對於還包括補救/修復的 SCAP 內容,您可以使用以下提供的內容https://github.com/ComplianceAsCode/content/
在發布頁面(最新可用版本:https://github.com/ComplianceAsCode/content/releases/download/v0.1.57/scap-security-guide-0.1.57.zip)您應該能夠下載 Ubuntu 的資料流。但STIG設定檔僅適用於Ubuntu20.04
然後你可以運行:
oscap xccdf eval --remediate --profile xccdf_org.ssgproject.content_profile_stig ssg-ubuntu2004-ds.xml
但請注意,這是一個社群驅動的項目,可能無法與 DISA 提供的內容 100% 一致。