第11章 クライアント・システムのOpenSCAP監査の実行
Oracle Linux 6およびOracle Linux 7で使用可能なscap-security-guide
パッケージは、Oracle LinuxのCommon Platform Enumeration (CPE)定義を含むように更新されたeXtensible Configuration Checklist Description Format (XCCDF)のSCAPセキュリティ・ガイドを提供します。
SCAPセキュリティ・ガイドまたはOpenSCAP準拠のXCDDFまたはOVAL(Open Vulnerability and Assessment Language)ファイルを使用できます。 オラクル社は、https://linux.oracle.com/security/でOVALファイルを提供しています。
クライアント・システムは、Spacewalk Serverがリモート・コマンドを実行できるようにする必要があります。 7.1項、「Spacewalk Webインタフェースを使用したキックスタート・プロファイルでのリモート構成の有効化」と7.3項、「リモート構成の手動による有効化」を参照してください。
クライアント・システムでOpenSCAPスキャンを実行できるようにするには、そのシステムにspacewalk-oscap
パッケージをインストールします。
Oracle LinuxでのOpenSCAPコンプライアンス・チェックの使用方法の詳細は、「Oracle LinuxでのOpenSCAP準拠チェックの実行」を参照してください。
11.1 Spacewalk Webインタフェースを使用したクライアント・システムのOpenSCAP監査の実行
通常、Spacewalkでoscapコマンドを使用してスキャンを実行します。 このコマンドの使用方法の詳細は、「Oracle® Linux 6: セキュリティ・ガイド」および「Oracle® Linux 7: セキュリティ・ガイド」を参照してください。
システムまたはシステム・グループのスキャンをスケジュールするには:
-
システムの場合:
-
「システム」に移動し、システム名をクリックして「監査」タブを選択し、「スケジュール」タブを選択します。
システム・グループの場合:
-
「システム」に行き、「システム・グループ」を選択して下さい。
-
システム・グループ名をクリックします。
-
Detailsページで、「グループとの連携」をクリックします。
SpacewalkはグループをSystem Set Managerにロードします。
-
「監査」タブを選択します。
-
-
「新しいXCCDFスキャンをスケジュール」ページで、次のフィールドにスキャン設定を入力します:
- 「コマンドライン引数」
-
スキャンを実行するコマンドには、コマンドライン引数を入力します。 例えば:
--profile server
。 - 「XCCDFドキュメントへのパス」
-
XCCDFチェックリスト・ファイルのパス(例:
/usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
)またはダウンロードされたOVAL定義ファイル(たとえばcom.oracle.elsa-2014.xml
)を入力します。
-
必要に応じてスケジュールを変更し、「スケジュール」をクリックします。
スキャンが完了すると、スキャン結果の要約が「リスト・スキャン」タブの下に表示されます。 セキュリティの回帰をチェックするために定期的なスキャンをスケジュールすることをお薦めします。
11.2 spacecmdコマンドを使用したクライアント・システムのOpenSCAP監査の実行
spacecmdコマンドはXCCDFスキャンをサポートしますが、OVALスキャンはサポートしていません。 代わりに、Spacewalkリモート・コマンド実行機能を使用して、Spacewalkクライアントでoscap oval evalを実行することができます。
oscapコマンドの使用方法の詳細は、「Oracle® Linux 6: セキュリティ・ガイド」および「Oracle® Linux 7: セキュリティ・ガイド」を参照してください。
システムのXCCDFスキャンをスケジュールするには、次のようにscap_schedulexccdfscanコマンドを使用します:
spacecmd {SSM:0}>scap_schedulexccdfscan '/usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml'
\'profile server' svr1.mydom.com
定期監査スキャンを表示するには、schedule_listコマンドを使用します:
spacecmd {SSM:0}> schedule_list
ID Date C F P Action
-- ---- --- --- --- ------
522 20150625T12:56:01 0 0 1 OpenSCAP xccdf scanning
...
10.3項、「スケジュールされたイベントの処理」を参照してください。
完了したXCCDFスキャンのサマリー結果を表示するには、scap_listxccdfscansコマンドを使用します:
spacecmd {SSM:0}> scap_listxccdfscans svr1.mydom.com
スキャンIDで指定されたXCCDFスキャンの詳細と結果を一覧表示するには、次の例に示すように、scap_getxccdfscandetailsコマンドとscap_getxccdfscanruleresultsコマンドを使用します:
spacecmd {SSM:0}>scap_getxccdfscandetails
spacecmd {SSM:0}>scan_ID
scap_getxccdfscanruleresults
scan_ID