手册页部分 1M: 系统管理命令

退出打印视图

更新时间: 2014 年 7 月
 
 

compliance (1M)

名称

compliance - 管理安全合规性测试

用法概要

compliance list [-v] [-p]
compliance list -b [-v] [-p] [benchmark ...]
compliance list -a [-v] [assessment ...] 
compliance assess [-p profile] [ -b benchmark] [ -a assessment]
compliance report [-f format] [-s what ] [ -a assessment] [-o pathname]
compliance delete assessment

描述

compliance 程序管理安全合规性策略。该程序有四个命令:listassessreportdelete

compliance 程序使用基准和配置文件生成安全评估和报告。评估是根据某个基准对系统的安全配置所做的评估。基准是以可解释的编程方式指定的系统安全参数的可接受范围。配置文件用于基准定制;在基准中指定了一组配置文件。报告是显示评估结果的一种形式。

list 命令列出关于所安装的指定基准和执行的评估的信息。缺省情况下,每行列出一个基准和评估。如果指定了 –v 选项,则输出中还将包括关于每个策略或评估的其他描述性信息。–b 选项将信息限定于基准,而 –a 选项将信息限定于评估。如果指定了 –p 选项,则会列出每个基准的配置文件。–a 选项不能与 –b–p 一起指定。如果提供了 benchmark 参数,则会将信息限定于匹配的基准。如果提供了 assessment 参数,则会将信息限定于匹配的评估。

assess 命令根据基准测试当前的系统配置并创建结果系统信息库。可以使用 –b 选项来指定基准;如果未指定,则该值缺省为 solaris。benchmark 参数可以是某个已安装的指定基准,也可以是 XCCDF (Extensible Configuration Checklist Description Format,可扩展配置核对表描述格式)格式的某个基准的绝对路径名。可以使用 –p 选项将评估限定于指定的配置文件;如果未指定,则该值缺省为基准定义的第一个配置文件(如果存在)。可以使用 –a 选项指定评估系统信息库的名称;如果未指定,则该值缺省为基于执行评估时的评估参数。用户必须具有所有区域特权和 solaris.compliance.assess 授权才能执行评估;分配有 "Compliance Assessor"(合规性评估者)权限配置文件的用户有权执行评估。

report 命令提供评估所需格式的报告的位置,并且在需要时生成所需格式的报告。可以使用 –a 选项指定评估系统信息库的名称;如果未指定,则该值缺省为最近执行的评估。如果未指定 –o 选项,则报告位于评估存储中;分配有 "Compliance Reporter"(合规性报告者)或 "Compliance Assessor"(合规性评估者)权限配置文件的用户有权生成这类报告。如果指定了 –o 选项,则报告位于 pathname。可以通过 –f 选项选择合规报告的格式。格式选项包括 logxccdfhtml。缺省格式为 html 格式。

对于 html 格式的报告,可以使用 –s 选项选择应当在报告中显示哪些结果类型。缺省情况下,除了 notselected 或 notapplicable 之外,所有结果类型都将显示在报告中。what 操作数是除了缺省类型之外要显示的结果类型的逗号分隔列表。可以通过在各个结果类型前加上 - 来隐藏相应的结果类型,而使 what 列表以 = 开头则可以确切地指定应当包括哪些结果类型。结果类型有:pass、fixed、notchecked、notapplicable、notselected、informational、unknown、error 或 fail。

delete 命令为指定的 assessment 删除结果系统信息库,包括所有关联的报告。

退出状态

将返回以下退出值:

0

成功完成

1

用法错误

2

assess 命令可能返回此值指示该命令成功但所评估的系统不合规。

>2

程序失败

基准

基准

compliance 命令提供了一个由供应商定义的名为 solaris 的基准。此基准的配置文件作为阈值指定,以便个别配置参数具有更高安全设置的系统可以通过此配置文件。solaris 基准包括一个 Baseline 配置文件,该配置文件对应于全新安装的 Oracle Solaris 实例的缺省安全配置设置;以及一个与供应商建议的配置对应的 Recommended 配置文件,该配置文件适用于不要求与以前 Oracle Solaris 版本兼容的系统。

示例

示例 1 显示系统上已安装的指定基准

以下示例展示了如何显示系统上已安装的指定基准:

% compliance list -bv
cis.v1.0
       CIS Solaris 11 Security Benchmark, v1.0.0
pci.v2.0
       Payment Card Industry Data Security Standard, v2.0
solaris
       Solaris Security Policy
示例 2 显示 Solaris 基准的配置文件

以下示例展示了如何显示 solaris 基准的配置文件:

% compliance list -bp solaris
solaris: Baseline Recommended
示例 3 使用 Solaris 基准的 Recommended 配置文件来评估系统

以下示例展示了如何使用 Solaris 基准的 Recommended 配置文件执行系统评估并将结果存储在 CHECK 系统信息库中:

% compliance assess -p Recommended -b solaris -a CHECK
示例 4 创建包括 notselected 结果类型项的报告

以下示例展示了如何生成包括 notselected 结果类型项但隐藏 informational 结果类型的报告:

% compliance report -s notselected,-informational -a CHECK
/var/share/compliance/assessments/CHECK/report.-informational,notselected.html

文件

/usr/lib/compliance

包含合规程序、数据和测试基准的目录。

/usr/lib/compliance/benchmarks

包含打包的合规基准的目录。

/var/share/compliance

包含合规评估和报告的目录。

属性

有关下列属性的说明,请参见 attributes(5)

属性类型
属性值
可用性
security/compliance
security/compliance/benchmark/solaris-policy
接口稳定性
Committed(已确定)

另请参见

attributes(5)

Solaris 安全准则

附注

compliance 命令仅针对当前操作系统映像执行。如果需要验证其他区域或域,则应当另外调用 compliance

用户可以使用以下命令来确定用于评估的 solaris 基准的版本:

% pkg info solaris-policy