compliance list [-v] [-p]
compliance list -b [-v] [-p] [benchmark ...]
compliance list -a [-v] [assessment ...]
compliance assess [-p profile] [ -b benchmark] [ -a assessment]
compliance report [-f format] [-s what ] [ -a assessment] [-o pathname]
compliance delete assessment
compliance プログラムは、セキュリティー準拠ポリシーを管理します。このプログラムには、list、assess、report、delete の 4 つのコマンドがあります。
compliance プログラムは、ベンチマークとプロファイルを使用して、セキュリティーの評価およびレポートを生成します。この評価は、ベンチマークに対して実行された、システムのセキュリティー構成の評価です。ベンチマークは、システムのセキュリティーパラメータの許容可能な範囲をプログラムで解釈可能なように指定したものです。プロファイルは、ベンチマークの調整です。一連のプロファイルがベンチマークの一部として指定されます。レポートは、評価を実行した結果の形式です。
list コマンドは、インストールされた名前付きベンチマークと実行された評価に関する情報を一覧表示します。デフォルトでは、ベンチマークと評価は 1 行に 1 つずつ一覧表示されます。–v オプションが指定されている場合は、各ポリシーまたは評価に関する追加の説明情報が出力に含まれます。–b オプションが情報をベンチマークに制限するのに対して、–a オプションは情報を評価に制限します。–p オプションが指定されている場合は、各ベンチマークのプロファイルが一覧表示されます。–a オプションを –b または –p オプションとともに指定することはできません。ベンチマークのパラメータが存在する場合、情報は一致するベンチマークに制限されます。評価のパラメータが存在する場合、情報は一致する評価に制限されます。
assess コマンドは、現在のシステム構成をベンチマークに対してテストし、結果リポジトリを作成します。–b オプションを使用すると、ベンチマークを指定できます。指定されていない場合、この値はデフォルトで solaris になります。ベンチマーク引数には、インストールされた名前付きベンチマークか、または XCCDF (Extensible Configuration Checklist Description Format) 形式のベンチマークの絶対パス名のどちらかを指定できます。–p オプションを使用すると、評価を指定したプロファイルに制限できます。指定されていない場合、この値はデフォルトで、ベンチマークで定義されている最初のプロファイル (存在する場合) になります。–a オプションを使用すると、評価リポジトリの名前を指定できます。指定されていない場合、この値はデフォルトで、評価のパラメータと評価が実行された日時に基づいた名前になります。ユーザーには、すべてのゾーン特権と、評価を実行するための solaris.compliance.assess 承認が必要です。Compliance Assessor 権利プロファイルが割り当てられているユーザーには、評価を実行するための権利があります。
report コマンドは、評価のための望ましい形式のレポートの場所を提供するとともに、必要に応じて必要な形式のレポートを生成します。–a オプションを使用すると、評価リポジトリの名前を指定できます。指定されていない場合、この値はデフォルトで、最後に実行された評価になります。–o オプションが指定されていない場合、レポートは評価ストレージに配置されます。Compliance Reporter または Compliance Assessor 権利プロファイルが割り当てられているユーザーには、このようなレポートを生成するための権利があります。–o オプションが指定されている場合、レポートは pathname に配置されます。準拠レポートの形式は、–f オプションで選択できます。形式オプションには、log、xccdf、および html があります。デフォルトは html 形式です。
html 形式のレポートの場合、–s オプションを使用すると、レポートに表示される結果タイプを選択できます。デフォルトでは、notselected または notapplicable を除くすべての結果タイプがレポートに表示されます。what オペランドは、デフォルトに加えて表示する結果タイプのコンマ区切りリストです。結果タイプの前に - を付けることによって個々の結果タイプを抑制できますが、what リストを = で始めると、正確にどの結果タイプを含めるかが指定されます。結果タイプは、pass、fixed、notchecked、notapplicable、notselected、informational、unknown、error、fail のいずれかです。
delete コマンドは、指定された assessment の結果リポジトリ (すべての関連するレポートを含む) を削除します。
次の終了ステータスが返されます。
正常終了
使用上のエラー
この値は、コマンドは成功したが、評価対象のシステムが準拠していないことを示すために assess コマンドによって返されることがあります。
プログラムエラー
compliance コマンドは、solaris という名前のベンダー定義のベンチマークとともに提供されます。個々の構成パラメータのよりセキュアな設定を備えたシステムがプロファイルを渡すことができるように、このベンチマークのプロファイルはしきい値として指定されます。solaris ベンチマークには、新たにインストールされた Oracle Solaris インスタンスのデフォルトのセキュリティー構成設定に対応するベースラインプロファイルと、以前のバージョンの Oracle Solaris との互換性が制約ではないシステムのためのベンダー推奨の構成に対応する推奨されるプロファイルが含まれています。
次の例は、システム上のインストールされた名前付きベンチマークを表示する方法を示しています。
% compliance list -bv
cis.v1.0
CIS Solaris 11 Security Benchmark, v1.0.0
pci.v2.0
Payment Card Industry Data Security Standard, v2.0
solaris
Solaris Security Policy
使用例 2 solaris ベンチマークのプロファイルの表示
次の例は、solaris ベンチマークのプロファイルを表示する方法を示しています。
% compliance list -bp solaris solaris: Baseline Recommended使用例 3 solaris ベンチマークの推奨されるプロファイルを使用したシステムの評価
次の例は、solaris ベンチマークの推奨されるプロファイルを使用してシステムの評価を取得し、その結果を CHECK リポジトリに格納する方法を示しています。
% compliance assess -p Recommended -b solaris -a CHECK使用例 4 notselected 結果タイプの項目を含むレポートの生成
次の例は、notselected 結果タイプの項目を含むレポートを生成するが、informational 結果タイプを抑制する方法を示しています。
% compliance report -s notselected,-informational -a CHECK /var/share/compliance/assessments/CHECK/report.-informational,notselected.html
compliance プログラム、データ、およびテストベンチマークのディレクトリ。
パッケージ化された準拠ベンチマークのディレクトリ。
準拠の評価およびレポートのディレクトリ。
次の属性については、attributes(5) を参照してください。
|
Solaris セキュリティーガイドライン
compliance コマンドは、現在のオペレーティングシステムイメージに対してのみ実行されます。ほかのゾーンまたはドメインを検証する必要がある場合は、compliance を個別に呼び出すようにしてください。
ユーザーは、次のコマンドを使用して、評価に使用されている solaris ベンチマークのバージョンを判定できます。
% pkg info solaris-policy