1. セキュリティ・コンプライアンスのためのOpenSCAPの使用
  2. OVAL定義を使用した脆弱性の監査

5 OVAL定義を使用した脆弱性の監査

OVAL定義ファイルを使用して、既知の脆弱性や構成の問題についてシステムを監査できます。OVAL監査スキャンを実行すると、使用可能なセキュリティ・パッチがシステムに正しく適用されているかどうかを確認できます。

また、SCAPデータ・ストリーム・ファイル内のOVAL定義エントリを利用して、監査を実行し、Oracleが提供するリモートOVAL定義(https://linux.oracle.com/securityで提供する定義など)を自動的にダウンロードして使用できます。

切断された環境がある場合は、OVAL定義ファイルを手動でダウンロードして、環境内のシステムで使用可能にできます。事前にダウンロードした定義を使用するには、--local-filesオプションを使用してスキャンを実行できます。

OVALファイルのダウンロード

ULNのすべての更新情報のOVAL定義が提供されます。これらの定義を使用して、すべての適用可能な更新情報がOracle Linuxシステムにインストールされていることを確認します。

  1. https://linux.oracle.com/securityからファイルをダウンロードします。

    使用可能なファイル・タイプは次のとおりです。

    個々のOVAL定義ファイル
    これらのファイルには、特定のセキュリティ・パッチの定義が含まれています。たとえば、com.oracle.elsa-20205535.xmlはELSA-2020-5535に関連しています。
    統合されたOVAL定義ファイル
    これらのファイルは、bzip2アルゴリズムを使用して圧縮され、年またはプラットフォームで表されるすべてのOVAL定義が含まれます。たとえば、com.oracle.elsa-2022.xml.bz2には、2022年のすべての定義が含まれています。すべてのELSAパッチのすべてのOVAL定義の完全なアーカイブは、com.oracle.elsa-all.xml.bz2にあります。統合されたOVAL定義は、Oracle Linuxリリースごとに、com.oracle.elsa-ol<x>.xml.bz2という形式で指定されたファイルでも提供されます。

    たとえば、Oracle Linux 8のすべてのELSAパッチの統合されたOVAL定義をダウンロードするには、次を実行します。 

    wget https://linux.oracle.com/security/oval/com.oracle.elsa-ol8.xml.bz2

  2. 圧縮ファイルをダウンロードした場合は、OVAL定義ファイルを抽出します。 

    bzip2 -d com.oracle.elsa-ol8.xml.bz2
  3. スキャンを実行するには、「OVAL監査スキャンの実行」を参照してください。

OVALファイルの情報の表示

OVALファイルに関する情報を表示するには、oscap infoを使用します。 

oscap info <path>/<OVAL-file>

たとえば: 

oscap info com.oracle.elsa-2019.xml

サンプル出力:

Document type: OVAL Definitions
OVAL version: 5.3
Generated: 2019-12-20T00:00:00
Imported: 2020-02-14T17:29:37

ノート:

OVAL定義ファイル(com.oracle.elsa-2019.xmlなど)は、https://linux.oracle.com/security/からダウンロードできます。

OVALファイルの検証

oscap validateを使用して終了コードを確認し、そのスキーマに対してOVALファイルを検証します。これにより、ファイルが適切に構造化されていることが確認されます。

たとえば、OVALファイルを検証するには、次のコマンドを実行します。

oscap oval validate com.oracle.elsa-2019.xml \
  && echo "ok" || echo "exit code = $? not ok"
ok

OVAL監査スキャンの実行

OVAL定義ファイルに対してOracle Linuxシステムをスキャンし、適用可能なすべての更新情報がインストールされていることを確認します。

  1. 特定のOVAL定義を手動でダウンロードしてインストールする必要がある場合は、「OVALファイルのダウンロード」の手順に従ってください。

  2. 特定のOVAL定義ファイルを使用してシステム監査を実行します。

    OVAL定義ファイルを手動でダウンロードし、それに対してシステムを監査する場合は、次のコマンドを実行します。

    sudo oscap oval eval –-results <path>/<results-name>.xml \
--report <path>/<report-name>.html <path>/<OVAL-definition-file>.xml

    たとえば:

    sudo oscap oval eval --results /tmp/elsa-results-oval.xml \
--report /var/www/html/elsa-report-oval.html com.oracle.elsa-all.xml

    出力が次のように表示されます。

    ...
Definition oval:com.oracle.elsa:def:20229690: false
Definition oval:com.oracle.elsa:def:20229689: true
Definition oval:com.oracle.elsa:def:20229683: false
Definition oval:com.oracle.elsa:def:20229682: false
Definition oval:com.oracle.elsa:def:20229680: false
Definition oval:com.oracle.elsa:def:20229676: false
Definition oval:com.oracle.elsa:def:20229675: false
Definition oval:com.oracle.elsa:def:20229670: false
Definition oval:com.oracle.elsa:def:20229669: false
Definition oval:com.oracle.elsa:def:20229668: false
Definition oval:com.oracle.elsa:def:20229667: false
Definition oval:com.oracle.elsa:def:20229612: false
Definition oval:com.oracle.elsa:def:20229609: false
Definition oval:com.oracle.elsa:def:20229602: false
Definition oval:com.oracle.elsa:def:20229601: true
...
Evaluation done.

    trueフラグはパッチがシステムに適用されていないことを意味し、falseフラグはパッチが適用されていることを意味します。

  3. 次の図に示すように、ブラウザでHTMLレポートを表示します。

ノート:

コマンドで--reportオプションを省略してシステムを監査する場合でも、後で結果ファイルからレポートを作成できます。次に例を示します。 
sudo oscap oval generate report /tmp/elsa-results-oval.xml \ 
/var/www/html/elsa-report-oval.html

図は、oscapによって生成されたOVALレポートのHTMLバージョンの一部を示しています。レポートの上部には、スキャン・レポートに関する一般情報と、定義ジェネレータに関する情報が含まれています。情報は表形式で表示されます。残りのレポートには、スキャンの結果としてシステムに関する詳細情報(表形式)が表示されます。