コンプライアンス評価が完了します。レポートには評価のすべての項目を含めるか、評価の情報のサブセットを含めることができます。定期的に評価を実行します。たとえば cron ジョブとしてシステムのコンプライアンスをモニターします。
solaris-small-server および solaris-large-server パッケージにはデフォルトで compliance パッケージが含まれます。solaris-desktop および solaris-minimal パッケージには compliance パッケージが含まれません。
始める前に
システムにパッケージを追加するために Software Installation 権利プロファイルを割り当てる必要があります。compliance コマンドを実行する権利で説明されているとおり、ほとんどのコンプライアンスコマンドに対して管理権利を割り当てる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
# pkg install compliance
次のメッセージは、そのパッケージがインストールされていることを示します。
No updates necessary for this image.
詳細は、pkg(1) のマニュアルページを参照してください。
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p profile -a assessment-directory
プロファイルの名前を示します。プロファイル名は大文字と小文字が区別されます。
評価のディレクトリ名を示します。デフォルト名にはタイムスタンプが含まれます。
たとえば、次のコマンドは推奨プロファイルを使用して評価を作成します。
# compliance -p Recommended -a recommended
このコマンドは、3 種類のファイル (ログファイル、XML ファイル、および HTML ファイル) の評価を含む recommended という名前のディレクトリを /var/share/compliance/assessments 内に作成します。
# cd /var/share/compliance/assessments/recommended # ls recommended.html recommended.txt recommended.xml
このコマンドを再実行した場合、ファイルは置換されません。評価ディレクトリを再使用する前にファイルを削除する必要があります。
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
このコマンドは、失敗した項目と選択されていない項目を含むレポートを HTML 形式で作成します。このレポートは最新の評価に対して実行されます。
カスタマイズされたレポートを繰り返し実行できます。ただし、完全なレポート (つまり評価) は元のディレクトリで 1 回のみ実行できます。
テキストエディタによるログファイル表示、ブラウザによる HTML ファイル表示、XML ビューアによる XML ファイル表示が可能です。
たとえば、前述の手順でカスタマイズされた HTML レポートを表示するには、次のブラウザエントリを入力します。
file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
# cron -e
毎日午前 2:30 にコンプライアンスを評価する場合、root で次のエントリを追加します。
30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline
毎週日曜日の午前 1:15 にコンプライアンスを評価する場合、root で次のエントリを追加します。
15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended
毎月 1 日の午前 4:00 に評価する場合、root で次のエントリを追加します。
0 4 1 * * /usr/bin/compliance assess -b pci-dss
月の第 1 月曜日の午前 3:45 に評価する場合、root で次のエントリを追加します。
45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
# compliance guide -a
ガイドには各セキュリティー検査の根拠と失敗した検査の修正手順が含まれています。ガイドはトレーニングに役立ち、将来のテストのガイドラインとしても役立ちます。デフォルトでは、各セキュリティープロファイルのガイドはインストール時に作成されます。ベンチマークを追加または変更する場合は新規ガイドを作成できます。