8 リモート・システムのスキャン
oscap-ssh
を使用して、SSH接続を介してリモート・システムをスキャンします。リモート・スキャンを使用すると、物理的にアクセスできず、SCAPセキュリティ・ガイドの最新バージョンまたは現在のOVAL定義を使用できないシステムを監査できます。最も一般的には、このコマンドは、ローカルに格納および保守されている単一のOVAL定義ファイルに対して複数のリモート・システムをスキャンするために使用できます。oscap-ssh
コマンドは、openscap-utils
パッケージで提供されています。
リモート・システムには、oscap
コマンドを提供するopenscap-scanner
パッケージがインストールされている必要があります。このシステムは、接続に使用し、スキャンを正しく実行できるようにsudo権限があるユーザー・アカウントで構成する必要もあります。
oscap-ssh
ユーティリティは、oscap
ユーティリティと同じサブコマンドおよびオプションを受け入れますが、スキャンするリモート・システムのホスト名またはIPアドレスと、SSHがリスニングしているポート番号を指定する必要があります。スキャンを実行する前に、--sudo
オプションを使用してユーザー権限をエスカレートします。oscap-ssh
を使用してリモート・システムでXCCDFスキャンを実行する場合にのみ、データ・ストリーム・ファイルを使用できることに注意してください。
システムをリモートでスキャンするには、次の例のようにoscap-ssh
コマンドを実行します。
oscap-ssh --sudo oscap-user@198.51.100.157 22 \
oval eval --results elsa-results-oval-198.51.100.157.xml \
--report elsa-report-oval-198.51.100.157.html \
com.oracle.elsa-ol8.xml
SSHキーの場所などのSSHオプションは、ローカル・ユーザーのSSH構成ファイルで構成することも、環境変数SSH_ADDITIONAL_OPTIONSを設定して構成することもできます。SSH接続の構成の詳細は、Oracle Linux: OpenSSHを使用したリモート・システムへの接続を参照してください。
SSHを介してリモート・システムでrootユーザーとして直接接続することもできますが、この方法はお薦めしません。常にoscap-ssh
を--sudo
オプションとともに使用し、このタスクのためにリモート・システムで適切なユーザーを構成してください。詳細は、Oracle Linux 8: システム・ユーザーおよび認証の設定を参照してください。