compliance パッケージは、評価とレポートを実行するために必要です。solaris-small-server および solaris-large-server パッケージにはデフォルトで compliance パッケージが含まれます。solaris-desktop および solaris-minimal パッケージには compliance パッケージが含まれません。リポジトリ内の評価ディレクトリおよびレポートを管理するには、権限が必要です。
ベンチマーク、プロファイル、およびテーラリングの評価レポートを作成できます。テーラリングについては、コンプライアンスベンチマークからのテーラリングの作成を参照してください。評価の定期的な実行の説明に従って、システム上の特定の評価を定期的に実行できます。
この手順では、評価レポートをローカルで作成します。
始める前に
システムにパッケージを追加するために Software Installation 権利プロファイルを割り当てる必要があります。compliance コマンドを実行する権利で説明されているとおり、ほとんどのコンプライアンスコマンドに対して管理権利を割り当てる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
$ pkg install compliance
次のメッセージは、そのパッケージがインストールされていることを示します。
No updates necessary for this image.
詳細は、pkg(1) のマニュアルページを参照してください。
$ compliance list -p
Benchmarks:
pci-dss: Solaris_PCI-DSS
solaris: Baseline, Recommended
Assessments:
No assessments available
$ pfexec compliance assess -p profile -b benchmark -a assessment-name
プロファイルの名前を示します。プロファイル名は大文字と小文字が区別されます。
ベンチマークの名前を示します。ベンチマーク名は大文字と小文字が区別されます。
オプション。評価の名前を示します。デフォルト名にはタイムスタンプが含まれます。
たとえば、次のコマンドは推奨プロファイルを使用してシステムを評価し、recommended という名前の評価のコンプライアンスリポジトリ内に評価ディレクトリを作成します。
$ pfexec compliance assess -p Recommended -b solaris -a recommended
コマンドが終了すると、レポートは log という名前の平文ログファイル、results.xccdf.xml という名前の XML ファイル、および report.html という名前の HTML ファイルに保管されます。
# pfexec compliance list -v -a recommended recommended: log report.html results.xccdf.xml
同じ compliance assess コマンドを再度実行しても、これらのファイルは置き換えられません。ディレクトリに別の名前を指定するか、または –a オプションを使用しないでください。
テキストエディタによるログファイル表示、ブラウザによる HTML ファイル表示、XML ビューアによる XML ファイル表示が可能です。
たとえば、report.html を表示するには、次のブラウザエントリを入力します。
file:///var/share/compliance/assessments/recommended/report.html