Les évaluations de la conformité sont complètes. Les états peuvent inclure tous les éléments de l'évaluation ou uniquement un sous-ensemble des informations qu'elle contient. Exécutez régulièrement des évaluations, par exemple en tant que travail cron, pour surveiller la conformité de votre système.
Par défaut, les packages solaris-small-server et solaris-large-server incluent le package compliance. Les packages solaris-desktop et solaris-minimal n'incluent pas le package compliance.
Avant de commencer
Vous devez disposer du profil Software Installation (installation de logiciels) pour ajouter des packages au système. Vous devez disposer de droits d'administration pour la plupart des commandes de conformité, comme décrit à la section Droits d'exécution de la commande compliance. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
# pkg install compliance
Le message suivant indique que le package est installé :
No updates necessary for this image.
Pour plus d'informations, reportez-vous à la page de manuel pkg(1).
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p profile -a assessment-directory
Indique le nom du profil. Le nom du profil distingue les majuscules et les minuscules.
Indique le nom du répertoire de l'évaluation. Le nom par défaut inclut un horodatage.
Par exemple, la commande suivante crée une évaluation à l'aide du profil Recommended.
# compliance -p Recommended -a recommended
La commande crée dans /var/share/compliance/assessments un répertoire nommé recommended qui contient l'évaluation dans trois fichiers : un fichier journal, un fichier XML et un fichier HTML.
# cd /var/share/compliance/assessments/recommended # ls recommended.html recommended.txt recommended.xml
Si vous exécutez à nouveau cette commande, les fichiers ne sont pas remplacés. Vous devez supprimer les fichiers avant de réutiliser un répertoire d'évaluation.
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
Cette commande crée un état contenant des éléments ayant subi un échec et des éléments non sélectionnés au format HTML. L'état est exécuté par rapport à la dernière évaluation.
Vous pouvez exécuter des états personnalisés de façon répétée. Toutefois, vous ne pouvez exécuter les états complets, c'est-à-dire l'évaluation, qu'une seule fois dans le répertoire d'origine.
Vous pouvez visualiser le fichier journal dans un éditeur de texte, visualiser le fichier HTML dans un navigateur ou visualiser le fichier XML dans une visionneuse de XML.
Par exemple, pour afficher l'état HTML personnalisé de l'étape qui précède, saisissez l'entrée suivante dans le navigateur :
file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
# cron -e
Pour des évaluations de conformité quotidiennes à 2h30, root ajoute l'entrée suivante :
30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline
Pour des évaluations de conformité hebdomadaires à 1h15 le dimanche, root ajoute l'entrée suivante :
15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended
Pour des évaluations mensuelles le premier jour du mois à 4h00, root ajoute l'entrée suivante :
0 4 1 * * /usr/bin/compliance assess -b pci-dss
Pour des évaluations le premier lundi du mois à 3h45, root ajoute l'entrée suivante :
45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
# compliance guide -a
Un guide comprend les raisons de chaque contrôle de sécurité et les étapes à suivre pour corriger une vérification ayant échoué. Les guides peuvent être utiles dans le cadre de formations et en guise d'instructions pour les tests ultérieurs. Par défaut, des guides sont créés pour chaque profil de sécurité lors de l'installation. Si vous ajoutez ou modifiez un test d'évaluation, vous pouvez créer un nouveau guide.