1. セキュリティ・コンプライアンスのためのOpenSCAPの使用
  2. OSCAP情報およびリファレンス

3 OSCAP情報およびリファレンス

OSCAPのインストールに関する情報を取得できます。この情報は、ツールの構成方法とサポート対象を理解するのに役立ちます。この情報は、OSCAP内で問題をデバッグする際に役立つことがあります。

oscapコマンドには、様々な動作を制御し、ツールが複数の異なるファイル・タイプを操作できるようにする複数のサブコマンドが含まれています。

OSCAPに関する情報の表示

oscap -Vを使用して、OSCAPツールに関する次の情報を表示します。

  • サポートされるSCAP仕様

  • ロードされたプラグイン機能

  • スキーマ、CPEおよびプローブ・ファイルの場所

  • 組込みCPE名

  • サポートされるOVALオブジェクトおよび関連するSCAPプローブ

サンプル出力: 

OpenSCAP command line tool (oscap) 1.3.6
Copyright 2009--2021 Red Hat Inc., Durham, North Carolina.

==== Supported specifications ====
SCAP Version: 1.3
XCCDF Version: 1.2
OVAL Version: 5.11.1
CPE Version: 2.3
CVSS Version: 2.0
CVE Version: 2.0
Asset Identification Version: 1.1
Asset Reporting Format Version: 1.1
CVRF Version: 1.1

==== Capabilities added by auto-loaded plugins ====
No plugins have been auto-loaded...

==== Paths ====
Schema files: /usr/share/openscap/schemas
Default CPE files: /usr/share/openscap/cpe

==== Inbuilt CPE names ====
...

==== Supported OVAL objects and associated OpenSCAP probes ====
OVAL family   OVAL object                  OpenSCAP probe              
----------    ----------                   ----------                  
independent   environmentvariable          probe_environmentvariable
independent   environmentvariable58        probe_environmentvariable58
independent   family                       probe_family
...

ノート:

Inbuilt Common Platform Enumeration (CPE)ディクショナリは推奨されません。これは将来のリリースで削除されます。CPEディクショナリは、コード内で簡単に参照できるように、ハードウェア、ソフトウェアおよびパッケージの標準ネーミング・スキームを提供するために使用されます。CPEディクショナリはデータ・ストリームの一部として含めることができ、Oracle Linuxプラットフォームに使用されるディクショナリは、scap-security-guideパッケージ内に出荷されるデータ・ストリーム・ファイルに含まれます。

oscapコマンド・リファレンス

oscapの一般的なコマンド構文は、次のとおりです。 

oscap [options] module operation [operation_options_and_arguments]

oscapは次のモジュール・タイプをサポートします。

  • cpe - 共通プラットフォーム一覧(CPE)ファイルを使用して、操作を実行します。
  • cve - 共通脆弱性識別子(CVE)ファイルを使用して、操作を実行します。
  • cvss - 共通脆弱性評価システム(CVSS)ファイルを使用して、操作を実行します。
  • ds - SCAPデータ・ストリーム(DS)を使用して、操作を実行します。
  • info - ファイルのタイプを決定し、ファイルの情報を出力します。
  • oval - Open Vulnerability and Assessment Language (OVAL)ファイルを使用して、操作を実行します。
  • xccdf - セキュリティ設定チェックリスト記述形式(XCCDF)のファイルを使用して、操作を実行します。

通常、最も有用なモジュールは、Oracle Linuxシステムをスキャンするためのinfoovalおよびxccdfです。ovalおよびxccdfモジュールを使用する場合、最も有用な操作は次のとおりです。

  • eval

    OVALファイルの場合、oscapはシステムを精査し、ファイルの各定義を評価し、結果を標準出力に出力します。

    XCCDFファイルの指定されたプロファイルの場合、oscapはファイルの各ルールに対してシステムをテストし、結果を標準出力に出力します。

  • generate

    OVAL XML結果ファイルの場合、generate reportは指定されたファイルをHTMLレポートに変換します。

    XCCDFファイルの場合、generate guideは指定されたプロファイルの完全セキュリティ・ガイドを出力します。

  • validate

    エラーを確認するためにXMLスキーマに対してOVALまたはXCCDFファイルを検証します。

-hコマンドオプションを使用すると、使用可能な各サブコマンドのヘルプを表示できます。たとえば: 

oscap -h
oscap xccdf -h
oscap xccdf generate -h

詳細は、oscap(8)マニュアル・ページを参照してください。