Oracle® Solaris 11 セキュリティーコンプライアンスガイド

印刷ビューの終了

更新: 2014 年 7 月
 
 

コンプライアンスの評価およびレポートの作成

コンプライアンス評価が完了します。レポートには評価のすべての項目を含めるか、評価の情報のサブセットを含めることができます。定期的に評価を実行します。たとえば cron ジョブとしてシステムのコンプライアンスをモニターします。

コンプライアンスレポートの実行方法

solaris-small-server および solaris-large-server パッケージにはデフォルトで compliance パッケージが含まれます。solaris-desktop および solaris-minimal パッケージには compliance パッケージが含まれません。

始める前に

システムにパッケージを追加するために Software Installation 権利プロファイルを割り当てる必要があります。compliance コマンドを実行する権利で説明されているとおり、ほとんどのコンプライアンスコマンドに対して管理権利を割り当てる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

  1. compliance パッケージをインストールします。
    # pkg install compliance

    次のメッセージは、そのパッケージがインストールされていることを示します。

    No updates necessary for this image.

    詳細は、pkg(1) のマニュアルページを参照してください。


    注 -  コンプライアンステストを実行する予定のあるすべてのゾーンにパッケージをインストールします。
  2. 評価を作成します。
    # compliance list -p
    Benchmarks:
    pci-dss:	Solaris_PCI-DSS
    solaris:	Baseline, Recommended
    Assessments:
    	No assessments available
    # compliance -p profile -a assessment-directory
    –p

    プロファイルの名前を示します。プロファイル名は大文字と小文字が区別されます。

    –a

    評価のディレクトリ名を示します。デフォルト名にはタイムスタンプが含まれます。

    たとえば、次のコマンドは推奨プロファイルを使用して評価を作成します。

    # compliance -p Recommended -a recommended

    このコマンドは、3 種類のファイル (ログファイル、XML ファイル、および HTML ファイル) の評価を含む recommended という名前のディレクトリを /var/share/compliance/assessments 内に作成します。

    # cd /var/share/compliance/assessments/recommended
    # ls
    recommended.html
    recommended.txt
    recommended.xml

    このコマンドを再実行した場合、ファイルは置換されません。評価ディレクトリを再使用する前にファイルを削除する必要があります。

  3. (オプション) カスタマイズしたレポートを作成します。
    # compliance report -s -pass,fail,notselected
    /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
    

    このコマンドは、失敗した項目と選択されていない項目を含むレポートを HTML 形式で作成します。このレポートは最新の評価に対して実行されます。

    カスタマイズされたレポートを繰り返し実行できます。ただし、完全なレポート (つまり評価) は元のディレクトリで 1 回のみ実行できます。

  4. 完全なレポートを表示します。

    テキストエディタによるログファイル表示、ブラウザによる HTML ファイル表示、XML ビューアによる XML ファイル表示が可能です。

    たとえば、前述の手順でカスタマイズされた HTML レポートを表示するには、次のブラウザエントリを入力します。

    file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
  5. 使用しているセキュリティーポリシーが合格するために必要な障害をすべて修正してください。
    1. 失敗したエントリに対する修正を完了します。
    2. 修正にシステムのリブートが含まれている場合、評価を再度実行する前にシステムをリブートします。
  6. (オプション) compliance コマンドを cron ジョブとして実行します。
    # cron -e

    毎日午前 2:30 にコンプライアンスを評価する場合、root で次のエントリを追加します。

    30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline

    毎週日曜日の午前 1:15 にコンプライアンスを評価する場合、root で次のエントリを追加します。

    15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended

    毎月 1 日の午前 4:00 に評価する場合、root で次のエントリを追加します。

    0 4 1 * * /usr/bin/compliance assess -b pci-dss

    月の第 1 月曜日の午前 3:45 に評価する場合、root で次のエントリを追加します。

    45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
  7. (オプション) システムにインストールされている一部またはすべてのベンチマークのガイドを作成します。
    # compliance guide -a

    ガイドには各セキュリティー検査の根拠と失敗した検査の修正手順が含まれています。ガイドはトレーニングに役立ち、将来のテストのガイドラインとしても役立ちます。デフォルトでは、各セキュリティープロファイルのガイドはインストール時に作成されます。ベンチマークを追加または変更する場合は新規ガイドを作成できます。