このドキュメントで説明されているソフトウェアはサポートされなくなったか、または拡張サポートされています。
Oracleでは、現在サポートされているリリースにアップグレードすることをお薦めします。

機械翻訳について

第11章 クライアント・システムのOpenSCAP監査の実行

Oracle Linux 6およびOracle Linux 7で使用可能なscap-security-guideパッケージは、Oracle LinuxのCommon Platform Enumeration (CPE)定義を含むように更新されたeXtensible Configuration Checklist Description Format (XCCDF)のSCAPセキュリティ・ガイドを提供します。

SCAPセキュリティ・ガイドまたはOpenSCAP準拠のXCDDFまたはOVAL(Open Vulnerability and Assessment Language)ファイルを使用できます。 オラクル社は、https://linux.oracle.com/security/でOVALファイルを提供しています。

ノート

クライアント・システムは、Spacewalk Serverがリモート・コマンドを実行できるようにする必要があります。 7.1項、「Spacewalk Webインタフェースを使用したキックスタート・プロファイルでのリモート構成の有効化」7.3項、「リモート構成の手動による有効化」を参照してください。

クライアント・システムでOpenSCAPスキャンを実行できるようにするには、そのシステムにspacewalk-oscapパッケージをインストールします。

Oracle LinuxでOpenSCAP準拠チェックを使用する方法の詳細については、「Oracle LinuxでのOpenSCAP準拠チェックの実行」を参照してください。

11.1  Spacewalk Webインタフェースを使用したクライアント・システムのOpenSCAP監査の実行

通常、Spacewalkでoscapコマンドを使用してスキャンを実行します。 このコマンドの使用方法の詳細は、Oracle® Linux 6: セキュリティ・ガイドおよびOracle® Linux 7: セキュリティ・ガイドを参照してください。

図11.1 新しいXCCDFスキャン・ページのスケジュールを設定
イメージには、Spacewalk Webインタフェースの「新しいXCCDFスキャンをスケジュール」ページが表示されます。
schedulescan.pngの大きなイメージを表示するにはクリックしてください

システムまたはシステム・グループのスキャンをスケジュールするには:

  1. システムの場合:

    • システムに移動し、システム名をクリックして監査タブを選択し、スケジュールタブを選択します。

    システム・グループの場合:

    1. システムに行き、システム・グループを選択して下さい。

    2. システム・グループ名をクリックします。

    3. Detailsページで、グループとの連携をクリックします。

      SpacewalkはグループをSystem Set Managerにロードします。

    4. 監査タブを選択します。

  2. 「新しいXCCDFスキャンをスケジュール」ページで、次のフィールドにスキャン設定を入力します:

    コマンドライン引数

    スキャンを実行するコマンドには、コマンドライン引数を入力します。 例えば: --profile server

    XCCDFドキュメントへのパス

    XCCDFチェックリスト・ファイルのパス(例:/usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml)またはダウンロードされたOVAL定義ファイル(たとえばcom.oracle.elsa-2014.xml)を入力します。

  3. 必要に応じてスケジュールを変更し、スケジュールをクリックします。

    スキャンが完了すると、スキャン結果の要約がリスト・スキャンタブの下に表示されます。 セキュリティの回帰をチェックするために定期的なスキャンをスケジュールすることをお薦めします。

11.2  spacecmdコマンドを使用したクライアント・システムのOpenSCAP監査の実行

ノート

spacecmdコマンドはXCCDFスキャンをサポートしますが、OVALスキャンはサポートしていません。 代わりに、Spacewalkリモート・コマンド実行機能を使用して、Spacewalkクライアントでoscap oval evalを実行することができます。

oscapコマンドの使用方法の詳細は、Oracle® Linux 6: セキュリティ・ガイドおよびOracle® Linux 7: セキュリティ・ガイドを参照してください。

システムのXCCDFスキャンをスケジュールするには、次のようにscap_schedulexccdfscanコマンドを使用します: 

spacecmd {SSM:0}> scap_schedulexccdfscan '/usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml' \
'profile server' svr1.mydom.com

定期監査スキャンを表示するには、schedule_listコマンドを使用します: 

spacecmd {SSM:0}> schedule_list
ID      Date                 C    F    P     Action
--      ----                ---  ---  ---    ------
522     20150625T12:56:01     0    0    1    OpenSCAP xccdf scanning
...

10.3項、「スケジュールされたイベントの処理」を参照してください。

完了したXCCDFスキャンのサマリー結果を表示するには、scap_listxccdfscansコマンドを使用します: 

spacecmd {SSM:0}> scap_listxccdfscans svr1.mydom.com

スキャンIDで指定されたXCCDFスキャンの詳細と結果を一覧表示するには、次の例に示すように、scap_getxccdfscandetailsコマンドとscap_getxccdfscanruleresultsコマンドを使用します: 

spacecmd {SSM:0}> scap_getxccdfscandetails scan_ID
spacecmd {SSM:0}> scap_getxccdfscanruleresults scan_ID

Copyright © 2020, Oracle and/or its affiliates. 法律上の注意点