8 リモート・システムのスキャン

oscap-sshを使用して、SSH接続を介してリモート・システムをスキャンします。リモート・スキャンを使用すると、物理的にアクセスできず、SCAPセキュリティ・ガイドの最新バージョンまたは現在のOVAL定義を使用できないシステムを監査できます。最も一般的には、このコマンドは、ローカルに格納および保守されている単一のOVAL定義ファイルに対して複数のリモート・システムをスキャンするために使用できます。oscap-sshコマンドは、openscap-utilsパッケージで提供されています。

リモート・システムには、oscapコマンドを提供するopenscap-scannerパッケージがインストールされている必要があります。このシステムは、接続に使用し、スキャンを正しく実行できるようにsudo権限があるユーザー・アカウントで構成する必要もあります。

oscap-sshユーティリティは、oscapユーティリティと同じサブコマンドおよびオプションを受け入れますが、スキャンするリモート・システムのホスト名またはIPアドレスと、SSHがリスニングしているポート番号を指定する必要があります。スキャンを実行する前に、--sudoオプションを使用してユーザー権限をエスカレートします。oscap-sshを使用してリモート・システムでXCCDFスキャンを実行する場合にのみ、データ・ストリーム・ファイルを使用できることに注意してください。

システムをリモートでスキャンするには、次の例のようにoscap-sshコマンドを実行します。

oscap-ssh --sudo oscap-user@198.51.100.157 22 \
  oval eval --results elsa-results-oval-198.51.100.157.xml \
  --report elsa-report-oval-198.51.100.157.html \
  com.oracle.elsa-ol8.xml

SSHキーの場所などのSSHオプションは、ローカル・ユーザーのSSH構成ファイルで構成することも、環境変数SSH_ADDITIONAL_OPTIONSを設定して構成することもできます。SSH接続の構成の詳細は、Oracle Linux: OpenSSHを使用したリモート・システムへの接続を参照してください。

SSHを介してリモート・システムでrootユーザーとして直接接続することもできますが、この方法はお薦めしません。常にoscap-sshを--sudoオプションとともに使用し、このタスクのためにリモート・システムで適切なユーザーを構成してください。詳細は、Oracle Linux 8: システム・ユーザーおよび認証の設定を参照してください。