機械翻訳について

11 OpenSCAPを使用したクライアント・システムの監査

警告:

このドキュメントで説明するソフトウェアは、Extended Supportでの期間限定でサポートされます。 Oracle Linux 7は現在拡張サポート中です。 詳細は、Oracle Linux拡張サポートおよびOracleオープン・ソース・サポート・ポリシーを参照してください。

OS管理ハブを使用してオペレーティング・システム・インフラストラクチャを管理することを検討してください。 詳細は、「OS管理ハブ」を参照してください。

この章では、SCAPセキュリティ・ガイドまたはOpenSCAP準拠のSCDDFまたはOVALファイルを使用して、Oracle Linux Manager設定内のセキュリティ・コンプライアンスについてシステムを監査する方法について説明します。 Oracleは、https://linux.oracle.com/securityでOVALファイルを提供します。

Oracle LinuxでのOpenSCAPおよびその実装の詳細は、「Oracle^® Linuxのドキュメント」のシステムのOracle Linuxリリースに対応するセキュリティ・ガイドを参照してください。

システム監査で通常Oracle Linux Managerとともに使用されるoscapコマンドの詳細は、oscap(8)マニュアル・ページも参照してください。

Oracle Linux ManagerでOpenSCAPを使用するための要件

Oracle Linux ManagerでOpenSCAPを使用して監査操作を実行するには、次の要件を満たします:

• Oracle Linux Managerサーバーがクライアント・システム上でリモート・コマンドを実行できるようにします。 「リモート管理のためのクライアント・システムの構成」を参照してください。

• spacewalk-oscapパッケージをすべてのクライアント・システムにインストールします。

• システムの監査対象となる適切なOVALファイルをダウンロードします。 これらのファイルは、https://linux.oracle.com/security/から取得できます。

クライアントでスキャン操作を実行するには、クライアントに少なくとも次のパッケージがインストールされている必要があります:

• openscap-utils

• openscap-scanner

• spacewalk-oscap

オプションで、/usr/share/xml/scap/ssg/content/のすべてのコンテンツを提供するscap-security-guideをインストールすることもできます。

監査スキャンの実行

この項では、webインタフェースでシステム・スキャンをスケジュールする方法について説明します。 スキャンおよび監査は、様々なシステムまたはシステム・グループについてスケジュールできます。

Oracle Linux Manager Webインタフェースの使用

図11-1 新しいXCCDFスキャン・ページのスケジュールを設定

1. ブラウザで、Oracle Linux Managerサーバーにログインします( https://server-fqdn )

2. 「システム」に移動します。

3. ターゲットに応じて、スキャンするターゲットを選択します。

   • システムをスキャンするには:

     1. システム名をクリックします。

     2. 「監査」タブを選択します。

     3. 「スケジュール」タブを選択します。

   • システム・グループをスキャンするには:

     1. 「システム・グループ」を選択します。

     2. システム・グループ名をクリックします。

     3. 詳細ページで、「グループとの連携」をクリックします。

        Oracle Linux Managerにより、グループがシステム・セット・マネージャにロードされます。

     4. 「監査」タブを選択します。

4. 「新しいXCCDFスキャンをスケジュール」ページで、次のフィールドにスキャン設定を入力します:

   • --profile serverなどの「コマンドライン引数」

   • 「XCCDFドキュメントへのパス」(/usr/share/xml/scap/ssg/content/ssg-ol7-xccdf.xmlやcom.oracle.elsa-2018.xmlなど)。

     ノート:

     必要に応じて、XCCDFファイルをhttps:linux.network.com/securityからダウンロードします。

5. 必要に応じて、スケジュールを変更します。

6. 「スケジュール」をクリックします。

   スキャンが完了すると、スキャン結果の要約が「リスト・スキャン」タブの下に表示されます。 セキュリティの回帰をチェックするために定期的なスキャンをスケジュールすることをお薦めします。

scap_schedulexccdfscanコマンドの使用

spacecmdコマンドでは、XCCDFスキャンのみがサポートされます。 OVALスキャンでは、Oracle Linux Managerリモート・コマンド実行機能を使用して、Oracle Linux Managerクライアントでoscap oval evalを実行します。

次に、クライアント・システムを監査するための様々なspacecmdコマンドの例を示します。

• XCCDFスキャンのスケジュール:

  spacecmd {SSM:0}> scap_schedulexccdfscan '/usr/share/xml/scap/ssg/content/ssg-ol7-xccdf.xml' 'profile server' svr1.mydom.com

• スケジュールされた監査スキャンを一覧表示します:

  spacecmd {SSM:0}> schedule_list

  「スケジュールされたイベントの操作」を参照してください。

• 完了したスキャンのサマリー結果を一覧表示します:

  spacecmd {SSM:0}> scap_listxccdfscans svr1.mydom.com

• XCCDFスキャンの詳細と結果を一覧表示します:

  spacecmd {SSM:0}> scap_getxccdfscandetails scan_ID
  spacecmd {SSM:0}> scap_getxccdfscanruleresults scan_ID