9 リモート・システムのスキャン
oscap-sshを使用して、SSH接続を介してリモート・システムをスキャンします。 リモート・スキャンを使用すると、物理的にアクセスできないシステム、およびSCAPセキュリティ・ガイドの最新バージョンまたは使用可能な現行のOVAL定義がないシステムを監査できます。 多くの場合、oscap-sshは、ローカルに格納および管理された単一のOVAL定義ファイルに対して複数のリモート・システムをスキャンするために使用されます。 oscap-sshコマンドは、openscap-utilsパッケージで提供されます。
リモート・システムには、oscapコマンドを提供するopenscap-scannerパッケージがインストールされている必要があります。 また、スキャンを正しく実行できるように、sudo権限を持つユーザー・アカウントを使用してこのシステムを構成する必要があります。
oscap-sshユーティリティは、oscapユーティリティと同じサブ・コマンドおよびオプションを受け入れますが、スキャンするリモート・システムのホスト名またはIPアドレスと、SSHがリスニングしているポート番号を指定する必要があります。 スキャンを実行する前に、--sudoオプションを使用してユーザー権限をエスカレートします。 データ・ストリーム・ファイルを使用できるのは、oscap-sshを使用してリモート・システムでXCCDFスキャンを実行する場合のみです。
システムをリモートでスキャンするには、次の例のようにoscap-sshコマンドを実行します。
oscap-ssh --sudo oscap-user@198.51.100.157 22 \
oval eval --results elsa-results-oval-198.51.100.157.xml \
--report elsa-report-oval-198.51.100.157.html \
com.oracle.elsa-ol9.xmlSSHキーの場所などのSSHオプションをローカル・ユーザーSSH構成ファイルで構成するか、SSH_ADDITIONAL_OPTIONS環境変数を設定することで構成できます。 SSH接続の構成の詳細は、Oracle Linux: OpenSSHを使用したリモート・システムへの接続を参照してください。
SSHを介してリモート・システムでrootユーザーとして直接接続できる場合がありますが、これを実行しないことをお薦めします。 常にoscap-sshを--sudoオプションとともに使用し、このタスクのためにリモート・システムで適切なユーザーを構成してください。 詳細は、Oracle Linux 9: システム・ユーザーおよび認証の設定を参照してください。