<div dir="ltr"><div>Thanks for the reply Jan.  Comments in-line.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jul 8, 2019 at 3:21 AM Jan Cerny <<a href="mailto:jcerny@redhat.com">jcerny@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
You need to pass the ID of the customized profile in --profile instead<br>
of the ID of the original profile.<br>
<br>
The ID of the customized profile is the ID that Workbench prompted you<br>
when you clicked on "Customize" button.<br>
By default it's stig-rhel7-disa_customized. You can check by opening<br>
the tailoring file in a text editor and checking "id" attribute of the<br>
"Profile" element.<br></blockquote><div>I updated the profile id and the same result entailed. </div><div><br></div><div>What solved this issue for me was adding the profile id as well as updating the source security guide from</div><div>/usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml<br></div><div>to</div><div>/usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml<br></div><div><br></div><div>This allowed my tailoring-file to correctly be applied.</div><div><br></div><div>Thanks for the help.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
Regards<br>
<br>
On Thu, Jul 4, 2019 at 4:19 PM Kenny Woodson <<a href="mailto:kwoodson@redhat.com" target="_blank">kwoodson@redhat.com</a>> wrote:<br>
><br>
> I'm attempting to run openscap and I was looking for some assistance for customizing a security guide.<br>
><br>
> I would like to disable options from the rhel7-stig-disa security guide.  For example, we do not allow ssh to our image and therefore would like to disable the check to install the screen package.<br>
><br>
> I followed the instructions here:<br>
> <a href="https://www.open-scap.org/resources/documentation/customizing-scap-security-guide-for-your-use-case/" rel="noreferrer" target="_blank">https://www.open-scap.org/resources/documentation/customizing-scap-security-guide-for-your-use-case/</a><br>
><br>
> This allowed me to capture the customized tailoring-file.  With this file I attempted to scan our image with the following command:<br>
><br>
> oscap xccdf eval   --profile stig-rhel7-disa  \<br>
>  --results /tmp/scap-results.xml \<br>
>  --report /tmp/scap-report.html \<br>
>  --tailoring-file /root/data/ssg-rhel7-ds-aro.xml \<br>
>  --oval-results --fetch-remote-resources  \<br>
>  --cpe /usr/share/xml/scap/ssg/content/ssg-rhel7-cpe-dictionary.xml /usr/share/xml/scap/ssg/content/ssg-rhel7-xccdf.xml<br>
><br>
> I admit that I am new to openscap and I'm not sure I understand each of the options here but when viewing the results I continue to see that the screen<br>
> check fails.  Is this behavior expected?<br>
><br>
> Here is the option in my tailoring-file:<br>
>     <xccdf:select idref="xccdf_org.ssgproject.content_rule_package_screen_installed" selected="false"/><br>
><br>
> I would appreciate some assistance or some explanation of how to achieve a customized security guide.<br>
><br>
> Thanks,<br>
> kenny<br>
> _______________________________________________<br>
> Open-scap-list mailing list<br>
> <a href="mailto:Open-scap-list@redhat.com" target="_blank">Open-scap-list@redhat.com</a><br>
> <a href="https://www.redhat.com/mailman/listinfo/open-scap-list" rel="noreferrer" target="_blank">https://www.redhat.com/mailman/listinfo/open-scap-list</a><br>
<br>
<br>
<br>
-- <br>
Jan Černý<br>
Security Technologies | Red Hat, Inc.<br>
</blockquote></div></div>