<div dir="ltr"><div>Bonjour,</div><div><br></div><div>Alors pour avoir regarder ça de loin, le profil ANSSI tel qu'implémenté me semble un peu incomplet et est soumis à interprétation donc à prendre avec un grain de sel. Mais enfin ...</div><div><br></div><div>content-url, datastream et xccdf trois deux choses différentes: cf<a href="https://www.open-scap.org/tools/oscap-anaconda-addon/doc/"> https://www.open-scap.org/tools/oscap-anaconda-addon/doc/</a> dans ton fichier 2 sur 3 sont identiques.</div><div><br></div><div>Pierre.</div><div>PS: J'en profite pour faire la pub sur mon petit projet qui débute : <a href="https://github.com/DraugurHundur/harde">https://github.com/DraugurHundur/harde</a> </div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, 19 May 2021 at 14:17, Jean-Yves LENHOF <<a href="mailto:jean-yves@lenhof.eu.org">jean-yves@lenhof.eu.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Bonjour,<br>
<br>
Il semble possible de mettre en œuvre les préconisations de l'ANSSI au <br>
niveau Linux directement au moment de l'installation via kickstart.<br>
Le profil en question n'est pas encore inclus en version RHEL 8.3 mais <br>
le sera avec la version RHEL 8.4 (cela apparait dans les notes de la <br>
Beta)<br>
<br>
L'idée que j'essaye de mettre en place est donc d'uploader les fichiers <br>
de paramétrages de profil inclus dans la 8.4 sur un serveur web interne <br>
et de demander au kickstart d'appliquer la configuration.<br>
Cela semble prévu et je ne dois pas être loin du résultat mais je bloque <br>
sur l'invocation magique à utiliser pour que cela fonctionne, et si j'ai <br>
ouvert un ticket chez RedHat, il n'a pas encore été pris<br>
<br>
Si quelqu'un ici s'y connait et peut me dire où je me merde, cela me <br>
ferait gagner un temps bien précieux...<br>
<br>
Les entrées kickstart que j'ai utilisé sont pour le moment les suivantes <br>
:<br>
<br>
%addon org_fedora_oscap<br>
content-type = datastream<br>
content-url = <br>
<a href="http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml" rel="noreferrer" target="_blank">http://1.2.3.4/usr/share/xml/scap/ssg/content/ssg-rhel8-ds-1.2.xml</a><br>
datastream-id = <br>
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml<br>
xccdf-id = <br>
scap_org.open-scap_datastream_from_xccdf_ssg-rhel8-xccdf-1.2.xml<br>
profile = xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced<br>
fingerprint = 1c589833c561f5b66a91825f11c97a2d<br>
%end<br>
<br>
Une partie des arguments doit être bonne puisque l'installateur anaconda <br>
fait des checks avant de commencer et ce n'est que lors de l'application <br>
que j'ai un beau message "unknown error" avec un stack trace python <br>
disant en gros qu'il ne trouve pas le datastream-id... de ce que j'en <br>
comprends.<br>
<br>
Sur le serveur web j'ai fait un rpm2cpio et ensuite extrait via cpio le <br>
package scap-security-guide trouvé dans la partie Stream de CentOS (à <br>
mon avis avis tout n'est pas nécessaire) et bien évidemment j'ai changé <br>
l'IP du serveur web dans mon copier-coller ci-dessus.<br>
<a href="https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html" rel="noreferrer" target="_blank">https://centos.pkgs.org/8-stream/centos-appstream-x86_64/scap-security-guide-0.1.54-5.el8.noarch.rpm.html</a><br>
<br>
A votre bon coeur, monsieur, dame,<br>
<br>
Cordialement,<br>
<br>
<br>
--<br>
Jean-Yves LENHOF<br>
<a href="mailto:jean-yves@lenhof.eu.org" target="_blank">jean-yves@lenhof.eu.org</a><br>
_______________________________________________<br>
Liste de diffusion du FRsAG<br>
<a href="http://www.frsag.org/" rel="noreferrer" target="_blank">http://www.frsag.org/</a><br>
</blockquote></div>