遵从性评估现已完成。报告可以包含评估中的每一项,也可以包含评估中的信息子集。请定期运行评估(例如以 cron 作业的形式运行)以监视系统的遵从性。
缺省情况下,solaris-small-server 和 solaris-large-server 软件包含有 compliance 软件包。solaris-desktop 和 solaris-minimal 软件包不含 compliance 软件包。
开始之前
您必须分配有 "Software Installation"(软件安装)权限配置文件才能向系统添加软件包。您必须分配有大多数 compliance 命令的管理权限,如运行 compliance 命令所需的权限中所述。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
# pkg install compliance
以下消息指示软件包已安装:
No updates necessary for this image.
有关更多信息,请参见 pkg(1) 手册页。
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p profile -a assessment-directory
指示配置文件的名称。配置文件名称区分大小写。
指示评估的目录名称。缺省名称包含时间戳。
例如,以下命令将使用 "Recommended"(建议)配置文件创建评估。
# compliance -p Recommended -a recommended
该命令会在 /var/share/compliance/assessments 中创建名为 recommended 的目录,而且目录中含有三个评估文件,分别是一个日志文件、一个 XML 文件和一个 HTML 文件。
# cd /var/share/compliance/assessments/recommended # ls recommended.html recommended.txt recommended.xml
再次运行此命令时,这些文件不会被替换。必须先删除文件,然后才能重复使用评估目录。
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
此命令会以 HTML 格式创建包含未通过项和未选定项的报告。该报告针对最近的评估运行。
可以重复运行定制报告。但是,只能在原始目录中运行完整报告(即评估)一次。
可以在文本编辑器中查看日志文件,在浏览器中查看 HTML 文件,或者在 XML 查看器中查看 XML 文件。
例如,要查看先前步骤所生成的 HTML 报告,请键入以下浏览器条目:
file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
# cron -e
对于在凌晨 2:30 运行的每日遵从性评估,root 将添加以下条目:
30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline
对于在星期日凌晨 1:15 运行的每周遵从性评估,root 将添加以下条目:
15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended
对于在每个月第一天凌晨 4:00 运行的每月评估,root 将添加以下条目:
0 4 1 * * /usr/bin/compliance assess -b pci-dss
对于在每个月第一个星期一凌晨 3:45 运行的评估,root 将添加以下条目:
45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
# compliance guide -a
该指南将包含每个安全检查的基本原理以及未通过的检查的修复步骤。这些指南可用于培训目的,也可用作日后测试的准则。缺省情况下,安装时会为每个安全配置文件创建指南。如果添加或更改了基准,您可以创建新指南。