Compliancebewertungen decken jeweils das gesamte System ab. Berichte können sämtliche Objekte in der Bewertung umfassen oder nur eine Teilmenge der Informationen in der Bewertung. Führen Sie Bewertungen regelmäßig aus, beispielsweise als cron-Job, um die Compliance Ihres Systems zu überwachen.
Die Packages solaris-small-server und solaris-large-server umfassen standardmäßig das Package compliance. Die Packages solaris-desktop und solaris-minimal beinhalten das Package compliance hingegen nicht.
Bevor Sie beginnen
Sie benötigen das Rechteprofil "Software Installation" (Softwareinstallation), um dem System Packages hinzuzufügen. Für die meisten Compliancebefehle benötigen Sie Admin-Rechte, wie unter Rechte zur Ausführung des compliance-Befehls beschrieben. Weitere Informationen finden Sie im Abschnitt Using Your Assigned Administrative Rights in Securing Users and Processes in Oracle Solaris 11.2 .
# pkg install compliance
Über folgende Nachricht wird angezeigt, dass das Package installiert wurde:
No updates necessary for this image.
Weitere Informationen finden Sie auf der Manpage pkg(1).
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p profile -a assessment-directory
Gibt den Namen des Profils an. Der Profilname ist abhängig von der Groß-/Kleinschreibung.
Gibt den Verzeichnisnamen der Bewertung an. Der Standardname beinhaltet einen Zeitstempel.
Beispiel: Mit dem folgenden Befehl wird eine Bewertung über das Profil "Recommended" erstellt.
# compliance -p Recommended -a recommended
Der Befehl erstellt unter /var/share/compliance/assessments ein Verzeichnis mit dem Namen recommended, das die Bewertung in drei Dateien enthält: eine Logdatei, eine XML-Datei und eine HTML-Datei.
# cd /var/share/compliance/assessments/recommended # ls recommended.html recommended.txt recommended.xml
Wenn Sie diesen Befehl erneut ausführen, werden die Dateien nicht ersetzt. Sie müssen die Dateien entfernen, bevor Sie ein Bewertungsverzeichnis erneut verwenden können.
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
Mit diesem Befehl wird ein Bericht erstellt, der nicht erfolgreiche und nicht gewählte Objekte im HTML-Format enthält. Der Bericht wird anhand der aktuellsten Bewertung ausgeführt.
Sie können benutzerdefinierte Berichte wiederholt ausführen. Die vollständigen Berichte, d. h. die Bewertung, können Sie im Ausgangsverzeichnis jedoch nur einmal ausführen.
Sie können die Logdatei in einem Texteditor, die HTML-Datei in einem Browser oder die XML-Datei in einem XML-Viewer anzeigen.
Beispiel: Um den benutzerdefinierten HTML-Bericht aus dem vorigen Schritt anzuzeigen, geben Sie folgenden Browsereintrag ein:
file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
# cron -e
Für eine tägliche Compliancebewertung um 2:30 Uhr fügt root folgenden Eintrag hinzu:
30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline
Für eine wöchentliche Compliancebewertung jeden Sonntag um 1:15 Uhr fügt root folgenden Eintrag hinzu:
15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended
Für monatliche Bewertungen jeweils am Ersten des Monats um 4:00 Uhr fügt root folgenden Eintrag hinzu:
0 4 1 * * /usr/bin/compliance assess -b pci-dss
Für Bewertungen jeweils am ersten Montag des Monats um 3:45 Uhr fügt root folgenden Eintrag hinzu:
45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
# compliance guide -a
Ein Leitfaden enthält die Begründung für die einzelnen Sicherheitsprüfungen sowie die zur Behebung einer nicht erfolgreichen Prüfung vorzunehmenden Schritte. Leitfäden können auch zu Schulungszwecken und als Richtlinien für zukünftige Tests dienen. Leitfäden für die einzelnen Sicherheitsprofile werden standardmäßig bei der Installation erstellt. Wenn Sie eine Benchmark hinzufügen oder ändern, erstellen Sie vielleicht einen neuen Leitfaden.