5 OVAL定義を使用した脆弱性の監査
OVAL定義ファイルを使用して、既知の脆弱性や構成の問題についてシステムを監査できます。OVAL監査スキャンを実行すると、使用可能なセキュリティ・パッチがシステムに正しく適用されているかどうかを確認できます。
また、SCAPデータ・ストリーム・ファイル内のOVAL定義エントリを利用して、監査を実行し、Oracleが提供するリモートOVAL定義(https://linux.oracle.com/securityで提供する定義など)を自動的にダウンロードして使用できます。
切断された環境がある場合は、OVAL定義ファイルを手動でダウンロードして、環境内のシステムで使用可能にできます。事前にダウンロードした定義を使用するには、--local-files
オプションを使用してスキャンを実行できます。
OVALファイルのダウンロード
ULNのすべての更新情報のOVAL定義が提供されます。これらの定義を使用して、すべての適用可能な更新情報がOracle Linuxシステムにインストールされていることを確認します。
-
https://linux.oracle.com/securityからファイルをダウンロードします。
使用可能なファイル・タイプは次のとおりです。
- 個々のOVAL定義ファイル
- これらのファイルには、特定のセキュリティ・パッチの定義が含まれています。たとえば、
com.oracle.elsa-20205535.xml
はELSA-2020-5535に関連しています。 - 統合されたOVAL定義ファイル
- これらのファイルは、
bzip2
アルゴリズムを使用して圧縮され、年またはプラットフォームで表されるすべてのOVAL定義が含まれます。たとえば、com.oracle.elsa-2022.xml.bz2
には、2022年のすべての定義が含まれています。すべてのELSAパッチのすべてのOVAL定義の完全なアーカイブは、com.oracle.elsa-all.xml.bz2
にあります。統合されたOVAL定義は、Oracle Linuxリリースごとに、com.oracle.elsa-ol<x>.xml.bz2
という形式で指定されたファイルでも提供されます。
たとえば、Oracle Linux 8のすべてのELSAパッチの統合されたOVAL定義をダウンロードするには、次を実行します。
wget https://linux.oracle.com/security/oval/com.oracle.elsa-ol8.xml.bz2
-
圧縮ファイルをダウンロードした場合は、OVAL定義ファイルを抽出します。
bzip2 -d com.oracle.elsa-ol8.xml.bz2
- スキャンを実行するには、「OVAL監査スキャンの実行」を参照してください。
OVALファイルの情報の表示
OVALファイルに関する情報を表示するには、oscap info
を使用します。
oscap info <path>/<OVAL-file>
たとえば:
oscap info com.oracle.elsa-2019.xml
サンプル出力:
Document type: OVAL Definitions
OVAL version: 5.3
Generated: 2019-12-20T00:00:00
Imported: 2020-02-14T17:29:37
ノート:
OVAL定義ファイル(com.oracle.elsa-2019.xml
など)は、https://linux.oracle.com/security/からダウンロードできます。
OVALファイルの検証
oscap validate
を使用して終了コードを確認し、そのスキーマに対してOVALファイルを検証します。これにより、ファイルが適切に構造化されていることが確認されます。
たとえば、OVALファイルを検証するには、次のコマンドを実行します。
oscap oval validate com.oracle.elsa-2019.xml \
&& echo "ok" || echo "exit code = $? not ok"
ok
OVAL監査スキャンの実行
OVAL定義ファイルに対してOracle Linuxシステムをスキャンし、適用可能なすべての更新情報がインストールされていることを確認します。
-
特定のOVAL定義を手動でダウンロードしてインストールする必要がある場合は、「OVALファイルのダウンロード」の手順に従ってください。
-
特定のOVAL定義ファイルを使用してシステム監査を実行します。
OVAL定義ファイルを手動でダウンロードし、それに対してシステムを監査する場合は、次のコマンドを実行します。
sudo oscap oval eval –-results <path>/<results-name>.xml \ --report <path>/<report-name>.html <path>/<OVAL-definition-file>.xml
たとえば:
sudo oscap oval eval --results /tmp/elsa-results-oval.xml \ --report /var/www/html/elsa-report-oval.html com.oracle.elsa-all.xml
出力が次のように表示されます。
... Definition oval:com.oracle.elsa:def:20229690: false Definition oval:com.oracle.elsa:def:20229689: true Definition oval:com.oracle.elsa:def:20229683: false Definition oval:com.oracle.elsa:def:20229682: false Definition oval:com.oracle.elsa:def:20229680: false Definition oval:com.oracle.elsa:def:20229676: false Definition oval:com.oracle.elsa:def:20229675: false Definition oval:com.oracle.elsa:def:20229670: false Definition oval:com.oracle.elsa:def:20229669: false Definition oval:com.oracle.elsa:def:20229668: false Definition oval:com.oracle.elsa:def:20229667: false Definition oval:com.oracle.elsa:def:20229612: false Definition oval:com.oracle.elsa:def:20229609: false Definition oval:com.oracle.elsa:def:20229602: false Definition oval:com.oracle.elsa:def:20229601: true ... Evaluation done.
true
フラグはパッチがシステムに適用されていないことを意味し、false
フラグはパッチが適用されていることを意味します。 -
次の図に示すように、ブラウザでHTMLレポートを表示します。
ノート:
--report
オプションを省略してシステムを監査する場合でも、後で結果ファイルからレポートを作成できます。次に例を示します。
sudo oscap oval generate report /tmp/elsa-results-oval.xml \
/var/www/html/elsa-report-oval.html
