ComplianceAsCode项目中RHEL-9的Ansible修复模块缺失问题分析

在ComplianceAsCode项目的安全合规自动化配置管理中，发现了一个针对Red Hat Enterprise Linux 9（RHEL-9）操作系统的特定问题。该问题涉及网络管理工具NMCLI的权限控制模块在Ansible自动化修复方案中的缺失。

问题背景

在RHEL-9操作系统的安全加固过程中，安全合规方案要求对NetworkManager命令行工具（nmcli）进行权限控制，确保非特权用户无法访问网络配置功能。这个安全要求体现在两个关键规则中：

1. 确保非特权用户无法访问nmcli工具
2. 禁用普通用户对NetworkManager的访问权限

问题现象

技术人员在测试RHEL-9的PCI-DSS合规方案时发现，当使用Ansible自动化工具执行"Server with GUI"软件包集合的修复时，上述安全规则无法被正确应用。经过深入排查，发现问题根源在于RHEL-9的Ansible修复模块中缺少了对应的实现代码。

技术分析

通过对比不同RHEL版本的实现发现：

• RHEL-8和RHEL-10版本中，相关Ansible修复模块工作正常
• RHEL-9版本的Ansible修复模块中缺少了对nmcli权限控制的实现
• 模块的平台定义中明确包含了RHEL-8和RHEL-10，但遗漏了RHEL-9

解决方案

该问题的修复相对直接，需要在Ansible修复模块的平台定义中添加RHEL-9的支持。具体来说，需要修改模块的元数据，将multi_platform_rhel添加到支持的平台列表中。这样就能确保在RHEL-9系统上执行安全合规修复时，相关的nmcli权限控制规则能够被正确应用。

影响范围

这个问题仅影响RHEL-9操作系统，特别是使用GUI界面的服务器环境。对于其他RHEL版本或其他类型的安装（如最小化安装）不受此问题影响。

总结

这个案例展示了在跨版本维护安全合规自动化配置时可能遇到的平台兼容性问题。它提醒我们在开发和维护安全合规自动化工具时，需要特别注意对不同操作系统版本的全面测试和验证，确保安全规则能够在所有目标平台上正确实施。同时，也体现了ComplianceAsCode项目团队对安全合规细节的关注和快速响应能力。