始める前に
評価ストアに追加できる評価をスケジュールするには、Compliance Assessor 権利プロファイルが割り当てられている必要があります。svccfg を実行するには、サービス構成の権利プロファイルが割り当てられている必要があります。詳細は、compliance コマンドを実行する権利およびOracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
$ compliance get-policy Benchmark: solaris Profile: Baseline Tailoring:
$ compliance list -p pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended $ compliance list -t basic RKerberos
compliance tailor list コマンドを使用しても使用可能なテーラリングを一覧表示できます。
この例では、既存のテーラリングをデフォルトポリシーとして割り当てます。
$ compliance set-policy -t RKerberos $ compliance get-policy Benchmark: Profile: Tailoring: RKerberos
サービス構成の権利プロファイルが割り当てられている必要があります。この権利プロファイルは多くの権利プロファイルに含まれています。
# svccfg -s compliance:default delcust # svccfg -s compliance:default listprop scheduled scheduled schedule scheduled/frequency integer 1 scheduled/interval astring week
# svccfg -s compliance:default setprop scheduled/property = type: value # svccfg -s compliance:default listprop scheduled scheduled schedule scheduled/frequency integer 1 scheduled/interval astring week scheduled/property type value # svcadm refresh compliance:default
スケジュールされているサービスでは、scheduled/hour や scheduled/day_of_week などのいくつかのプロパティーが定義されています。これらのプロパティーの例については、使用例 11および使用例 12を参照してください。詳細は、Oracle Solaris 11.3 でのシステムサービスの管理 の 定期的またはスケジュールされているサービスをスケジュールする方法および svc.periodicd(1M)を参照してください。
# svcadm refresh compliance:default
$ svcs -x compliance:default svc:/application/security/compliance:default (Scheduled compliance assessment) State: disabled since Fri Jan 8 10:10:10 2016 Reason: Disabled by an administrator. See: http://support.oracle.com/msg/SMF-8000-05 See: compliance(1M) See: /var/svc/log/application-security-compliance:default Impact: This service is not running. $ svcadm enable compliance:default $ svcs compliance:default STATE STIME FMRI online 10:21:22 svc:/application/security/compliance:default
$ svcs -o lrun,nrun compliance:default LRUN NRUN Jan_08
$ svcs -o lrun,nrun compliance:default LRUN NRUN 02:10:10 Jan_08
$ pfexec compliance report /var/compliance/assessments/solaris/tailoring1/tailoring1.2016-01-03,02:11/report.html
file:///var/compliance/assessments/solaris/tailoring/tailoring.2016-01-03,02:11/report.html
この例では、デフォルトポリシーを solaris ベンチマークの Recommended プロファイルに設定します。
$ compliance list -p pci-dss: Solaris_PCI-DSS solaris: Baseline, Recommended $ compliance set-policy -b solaris -p Recommended $ compliance get-policy Benchmark: solaris Profile: Recommended Tailoring:使用例 10 インストールされたテーラリングへのデフォルトポリシーの設定
この例では、デフォルトポリシーを (管理者がパッケージとしてインストールした) RKerberos テーラリングに設定します。
$ compliance set-policy -b solaris -t RKerberos $ compliance get-policy Benchmark: solaris Profile: Recommended Tailoring: RKerberos
RKerberos テーラリングの内容については、使用例 5を参照してください。
使用例 11 評価の曜日と時間のスケジューリングこの例では、root 役割は評価を実行する曜日と時間を指定することによって、デフォルトのスケジュールに追加します。サービスをリフレッシュしたあと、root は新しいスケジュールが有効であることを確認します。
# svccfg -s compliance:default setprop scheduled/day = astring: Sunday # svccfg -s compliance:default setprop scheduled/hour = integer: 2 # svccfg -s compliance:default listprop scheduled scheduled schedule scheduled/frequency integer 1 scheduled/interval astring week scheduled/day astring Sunday scheduled/hour integer 2 # svcadm refresh compliance:default # svcs -x compliance:default svc:/application/security/compliance:default (Scheduled compliance assessment) State: online since Fri Jan 08 11:11:11 2016 ...使用例 12 ポリシー評価の毎日の実行
この例では、root 役割は午前 2 時過ぎに毎日評価が実行されるように変更します。サービスをリフレッシュしたあと、root は新しいスケジュールが有効であることを確認します。
# svccfg -s compliance:default setprop scheduled/interval = astring: day # svccfg -s compliance:default setprop scheduled/hour = integer: 2 # svcadm refresh compliance:default # svccfg -s compliance:default listprop scheduled scheduled schedule scheduled/frequency integer 1 scheduled/interval astring day scheduled/hour integer 2 # svcs compliance:default STATE STIME FMRI online 11:11:11 svc:/application/security/compliance:default # svcs -o lrun,nrun compliance:default LRUN NRUN - Jan_08