OpenSCAP : インストール2019/12/18 |
SCAP (Security Content Automation Protocol) 標準に基づいたシステムのセキュリティ監査や脆弱性スキャンが可能な OpenSCAP のインストールです。
SCAP の概要は以下を参照ください。
⇒ https://www.ipa.go.jp/security/vuln/SCAP.html OVAL (Open Vulnerability and Assessment Language) ⇒ 脆弱性を評価するための標準化された仕様 XCCDF (Extensible Configuration Checklist Description Format) ⇒ XML フォーマットのセキュリティ設定チェックリスト OCIL (Open Checklist Interactive Language) ⇒ ユーザーとの質疑応答を解釈するフレームワーク CPE (Common Platform Enumeration) ⇒ ハードやソフト等を識別するための命名基準 CCE (Common Configuration Enumeration) ⇒ 各セキュリティ項目にユニーク ID を割り当てる仕様 CVE (Common Vulnerabilities and Exposures) ⇒ 個別製品の脆弱性に割り当てられた一意の識別番号 CVSS (Common Vulnerability Scoring System) ⇒ 脆弱性を評価してスコアでランク付けするメトリクスシステム |
|
[1] | OpenSCAP コマンドラインツール および Linux 向けのセキュリティポリシーが定義された SCAP Security Guide をインストールします。 |
[root@dlp ~]# yum -y install openscap-scanner scap-security-guide
|
[2] | SCAP Security Guide は [/usr/share/xml/scap/ssg/content] 配下にインストールされます。 |
[root@dlp ~]# ll /usr/share/xml/scap/ssg/content/ total 115576 -rw-r--r--. 1 root root 15538695 Aug 23 23:22 ssg-centos6-ds.xml -rw-r--r--. 1 root root 5086947 Aug 23 23:22 ssg-centos6-xccdf.xml -rw-r--r--. 1 root root 25972220 Aug 23 23:22 ssg-centos7-ds.xml -rw-r--r--. 1 root root 8156658 Aug 23 23:22 ssg-centos7-xccdf.xml -rw-r--r--. 1 root root 546 Aug 23 23:21 ssg-firefox-cpe-dictionary.xml ..... ..... # 各コンテンツの概要を表示するには以下 [root@dlp ~]# oscap info /usr/share/xml/scap/ssg/content/ssg-centos7-xccdf.xml Document type: XCCDF Checklist Checklist version: 1.1 Imported: 2019-08-23T23:22:14 Status: draft Generated: 2019-08-23 Resolved: true Profiles: Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7 Id: pci-dss Title: Standard System Security Profile for Red Hat Enterprise Linux 7 Id: standard Referenced check files: ssg-rhel7-oval.xml system: http://oval.mitre.org/XMLSchema/oval-definitions-5 ssg-rhel7-ocil.xml system: http://scap.nist.gov/schema/ocil/2 https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2 system: http://oval.mitre.org/XMLSchema/oval-definitions-5 |
[3] | [oscap] コマンドでシステムをスキャンします。書式は以下の通りです。 ⇒ $ oscap [オプション] module eval [モジュール操作のオプション および 引数] |
# 例として [xccdf] モジュールの [standard] プロファイルでスキャンし [ssg-centos7-xccdf.html] ファイルに書き出す [root@dlp ~]# oscap xccdf eval --profile standard --report ssg-centos7-xccdf.html /usr/share/xml/scap/ssg/content/ssg-centos7-xccdf.xml ..... ..... Title Ensure All SUID Executables Are Authorized Rule file_permissions_unauthorized_suid Result pass Title Verify that All World-Writable Directories Have Sticky Bits Set Rule dir_perms_world_writable_sticky_bits Result pass Title Disable the Automounter Rule service_autofs_disabled Result notapplicable |
Sponsored Link |
|