通过chroot会话执行OpenSCAP补救--“无法在脱机模式下执行补救”错误

Question

我正在尝试通过chroot会话执行OpenSCAP补救。我的命令结构如下：

  oscap-chroot /mnt/chroot_fs \
        xccdf eval \
        --remediate \
        --results results.xml \
        --report report.html \
        --profile xccdf_org.ssgproject.content_profile_cui \
        ssg-rhel7-ds-1.2.xml

当该命令执行时，它将成功地执行一次扫描，指示少量的pass和fail结果。然后，当它进入补救阶段时，它说：

 --- Starting Remediation ---
OpenSCAP Error: Can't perform remediation in offline mode: not implemented [/builddir/build/BUILD/openscap-1.3.3/src/XCCDF/xccdf_session.c:1690]

此时是否不可能通过chroot会话进行补救？如果没有，如何针对远程目标执行补救？

Answer 1

答案是Openscap不能执行远程补救。oscap-chroot和oscap-ssh只适用于扫描。据我所知，推荐的解决方案是使用oscap生成的oscap xccdf generate fix文件来使用results.xml。然后对远程主机手动运行此修复脚本。