问题

我正在使用自定义 kickstart 文件创建 RHEL 7.3 安装映像。

我可以将它添加到我的 kickstart 文件中以在安装期间启用 SCAP 配置：

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
%end

但是，当我这样做时，我最终nousb会在我的内核 cmdline 中禁用所有 USB 接口，包括键盘和鼠标。

（我之前对 RHEL 7.2 映像做过同样的事情，它“正常工作”，所以我知道基本方法是合理的。但这是使用较旧且显然不太完整的安全配置文件。）

现在，我完全明白为什么了：有一条规则专门设置它。我需要“定制”规则，以便 SCAP 工具不会禁用我所有的 USB 设备。

到目前为止我发现了什么

根据Red Hat 的 kickstart 文档和OSCAP Anaconda 站点，我可以通过提供我自己的定制文件来暂停这条规则：

剪裁路径 - 应该使用的剪裁文件的路径，作为存档中的相对路径给出。

所以，我运行 scap-workbench，禁用受影响的规则，并将我的更改保存为一个剪裁.xml 文件

然后，我可以在 kickstart 配置中添加一行，如下所示：

%addon org_fedora_oscap
content-type = scap-security-guide
profile = stig-rhel7-server-gui-upstream
tailoring-path = ssg-rhel7-ds-tailoring.xml
%end

基于反复试验，我还得出结论，tailoring.xml 文件必须放在 /root/openscap_data 中（绝对路径绝对不起作用——在安装过程中你会得到一个显着的显示停止调试提示）。

什么我想不通

nousb即使在生成定制文件之后，当我进行全新安装时，我仍然会得到一个内核。

• 我真的将剪裁.xml 放在正确的位置吗？

• 是否有详细的日志可以用来诊断插件在做什么？（我在 /var/log/anaconda/journal.log 中只找到了非常基本的信息。）

• 如果定制方法由于某种原因而失败，那么在不完全放弃 STIG 自动配置的情况下，为解决此问题应用解决方法的干净且一致的方法是什么？（例如，我可以在 OSCAP 破坏内核参数后使用另一个附加模块来清理它们吗？）