问题

我正在用一个自定义kickstart文件创build一个RHEL 7.3安装映像。

我可以将其添加到我的kickstart文件中以在安装期间启用SCAPconfiguration：

%addon org_fedora_oscap content-type = scap-security-guide profile = stig-rhel7-server-gui-upstream %end 

但是，当我这样做时，我最终在内核cmdline中使用了nousb ，禁用所有USB接口，包括键盘和鼠标。

（我之前用RHEL 7.2镜像做过同样的事情，而且它“正常工作”，所以我知道基本方法是正确的，但是使用的是旧的，显然不太完整的安全configuration文件。

• XenServer 6.2上的RHEL克隆（Centos，Scientific，CERN）networking安装
• CentOS / RHEL 7 LVM在Kickstart中分区？
• Kickstart – 如果操作系统已经存在，如何退出
• 使用LVM的Ubuntu Kickstart安装等待input
• 在kickstart安装过程中修改XFS文件系统创build参数

现在，我完全明白为什么： 有一个规则是专门设置的 。 我需要“调整”规则，以便SCAP工具不会禁用所有USB设备。

到目前为止我已经弄清楚了

根据Red Hat的kickstart文档和OSCAP Anaconda网站 ，我可以通过提供我自己的剪裁文件来暂停这一规则：

tailoring-path – 应该使用的剪裁文件的path，作为档案中的相对path给出。

所以，我运行scap-workbench，禁用受影响的规则，并将我的更改保存为tailoring.xml文件

然后，我可以添加一行到kickstartconfiguration，如下所示：

 %addon org_fedora_oscap content-type = scap-security-guide profile = stig-rhel7-server-gui-upstream tailoring-path = ssg-rhel7-ds-tailoring.xml %end 

基于反复试验，我还得出结论：tailoring.xml文件必须放在/ root / openscap_data中（绝对path绝对不行 – 在安装过程中你会得到一个显着的停止debugging提示）。

我无法弄清楚

即使在生成剪裁文件之后，我仍然在用全新安装的方式获得一个nousb内核。

• 我真的把tailoring.xml放在正确的地方吗？

• 有一个详细的日志，我可以用来诊断附加function在做什么？ （我在/var/log/anaconda/journal.log中只find了真正的基本信息。）

• 如果裁剪方法由于某种原因而失败，那么在这个问题上应用一种解决方法的干净而一致的方法是什么，而不是完全抛弃STIG自动configuration？ （例如，OSCAP中断后，我可以使用另一个附加模块来清理我的内核参数吗？）

 yum install html2text util-linux-ng 

  sed -i "s/\(GRUB_CMDLINE_LINUX=\)\"\(.*\)\"/\1\"\2 nousb\"/" /etc/default/grub bootloader /sbin/grubby --update-kernel=ALL --args="nousb" 

 %addon org_fedora_oscap content-type = scap-security-guide profile = stig-rhel7-server-gui-upstream-MYPROJECT-CUSTOMIZATIONS tailoring-path = ssg-rhel7-ds-tailoring.xml %end