Le valutazioni di conformità sono complete. I report possono includere tutti gli elementi della valutazione o un sottoinsieme delle informazioni presenti nella valutazione. Eseguire le valutazioni a intervalli regolari, ad esempio come job cron, per monitorare la conformità del sistema.
Per impostazione predefinita, i pacchetti solaris-small-server e solaris-large-server includono il pacchetto compliance. I pacchetti solaris-desktop e solaris-minimal non includono il pacchetto compliance.
Prima di cominciare
Per aggiungere pacchetti al sistema, è necessario che all'utente sia assegnato il profilo di diritti per l'installazione del software (Software Installation). È necessario assegnare i diritti amministrativi per la maggior parte dei comandi compliance, come descritto in Diritti necessari per eseguire il comando compliance. Per ulteriori informazioni, vedere Using Your Assigned Administrative Rights in Securing Users and Processes in Oracle Solaris 11.2 .
# pkg install compliance
Il messaggio riportato di seguito indica che il pacchetto è installato:
No updates necessary for this image.
Per ulteriori informazioni, vedere la man page pkg(1).
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p profile -a assessment-directory
Indica il nome del profilo. Il nome del profilo fa distinzione tra maiuscole e minuscole.
Indica il nome della directory della valutazione. Il nome predefinito include un indicatore orario.
Ad esempio, il comando riportato di seguito crea una valutazione utilizzando il profilo consigliato.
# compliance -p Recommended -a recommended
Il comando crea una directory in /var/share/compliance/assessments denominata recommended che contiene la valutazione in tre file: un file di log, un file XML e un file HTML.
# cd /var/share/compliance/assessments/recommended # ls recommended.html recommended.txt recommended.xml
Se si esegue di nuovo questo comando, i file non vengono sostituiti. È necessario rimuovere i file prima di riutilizzare una directory di valutazioni.
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
Questo comando crea un report contenente gli elementi non riusciti e quelli non selezionati in formato HTML. Il report viene eseguito sulla valutazione più recente.
È possibile eseguire report personalizzati ripetutamente. Tuttavia, è possibile eseguire i report completi, ovvero la valutazione, una sola volta nella directory originale.
È possibile visualizzare il file di log in un editor di testo, il file HTML in un browser oppure il file XML in un visualizzatore XML.
Ad esempio, per visualizzare il report HTML personalizzato dal passaggio precedente, digitare la seguente voce nel browser:
file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
# cron -e
Per le valutazioni di conformità giornaliere eseguite alle 2:30, root aggiunge la seguente voce:
30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline
Per le valutazioni di conformità settimanali eseguite le domeniche all'1:15, root aggiunge la seguente voce:
15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended
Per le valutazioni mensili eseguire il primo giorno del mese alle 4:00, root aggiunge la seguente voce:
0 4 1 * * /usr/bin/compliance assess -b pci-dss
Per le valutazioni eseguite il primo lunedì del mese alle 3:45, root aggiunge la seguente voce:
45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
# compliance guide -a
Una guida contiene le motivazioni per ciascun controllo di sicurezza e la procedura per correggere un controllo non riuscito. Le guide possono risultare utili per la formazione e come linee guida per i test futuri. Per impostazione predefinita, durante l'installazione vengono create le guide per ciascun profilo di sicurezza. Se si aggiunge o si modifica un benchmark, è possibile creare una nuova guida.