As avaliações de conformidade estão concluídas. Os relatórios podem incluir cada item na avaliação ou podem incluir um subconjunto das informações na avaliação. Execute avaliações com frequência, por exemplo, como um job cron, para monitorar a conformidade do seu sistema.
Por padrão, os pacotes solaris-small-server e solaris-large-server incluem o pacote compliance. Os pacotes solaris-desktop e solaris-minimal não incluem o pacote compliance.
Before You Begin
Você deve receber o perfil de direitos Software Installation para adicionar pacotes ao sistema. Você deve receber direitos administrativos para a maioria dos comandos de conformidade, conforme descrito em Direitos para executar o comando compliance. Para obter mais informações, consulte Using Your Assigned Administrative Rights no Securing Users and Processes in Oracle Solaris 11.2 .
# pkg install compliance
A seguinte mensagem indica que o pacote foi instalado:
No updates necessary for this image.
Para obter mais informações, consulte a página man pkg(1).
# compliance list -p Benchmarks: pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended Assessments: No assessments available # compliance -p profile -a assessment-directory
Indica o nome do perfil. O nome do perfil diferencia maiúsculas de minúsculas.
Indica o nome do diretório da avaliação. O nome padrão inclui um carimbo de data/hora.
Por exemplo, o comando a seguir cria uma avaliação usando o perfil Recommended.
# compliance -p Recommended -a recommended
O comando cria um diretório em /var/share/compliance/assessments denominado recommended que contém a avaliação em três arquivos: um arquivo de log, um arquivo XML e um arquivo HTML.
# cd /var/share/compliance/assessments/recommended # ls recommended.html recommended.txt recommended.xml
Se você executar esse comando novamente, os arquivos não serão substituídos. Você deve remover os arquivos antes de reutilizar um diretório de avaliações.
# compliance report -s -pass,fail,notselected /var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
Esse comando cria um relatório que contém itens não selecionados ou com falha no formato HTML. O relatório é executado na avaliação mais recente.
É possível executar relatórios personalizados repetidamente. No entanto, você pode executar os relatórios completos, ou seja, a avaliação, apenas uma vez no diretório original.
É possível visualizar o arquivo de log em um editor de texto, visualizar o arquivo HTML em um navegador ou o arquivo XML em um visualizador XML.
Por exemplo, para visualizar o relatório HTML personalizado na etapa anterior, digite a seguinte entrada no navegador:
file:///var/share/compliance/assessments/recommended/report.-pass,fail,notselected.html
# cron -e
Para avaliações diárias de conformidade às 2h30m, root adiciona a seguinte entrada:
30 2 * * * /usr/bin/compliance assess -b solaris -p Baseline
Para avaliações semanais de conformidade aos domingos à 1h15m, root adiciona a seguinte entrada:
15 1 * * 0 /usr/bin/compliance assess -b solaris -p Recommended
Para avaliações mensais no primeiro dia do mês às 4h, root adiciona a seguinte entrada:
0 4 1 * * /usr/bin/compliance assess -b pci-dss
Para avaliações na primeira segunda-feira do mês às 3h45m, root adiciona a seguinte entrada:
45 3 1,2,3,4,5,6,7 * 1 /usr/bin/compliance assess
# compliance guide -a
Um guia contém a lógica para cada verificação de segurança e as etapas para corrigir uma verificação com falha. Os guias podem ser úteis para treinamento e como diretrizes para testes futuros. Por padrão, os guias para cada perfil de segurança são criados na instalação. Se você adicionar ou alterar um benchmark, deverá criar um novo guia.