Oracle Cloud Infrastructure-Dokumentation

Instanz erneut auf Compliance scannen

Scannen Sie die Instanz mit dem SCC- oder OpenSCAP-Tool, um zu prüfen, ob sie weiterhin konform ist.

Änderungen an einer Oracle Linux STIG-Imageinstanz (wie die Installation anderer Anwendungen oder das Hinzufügen neuer Konfigurationseinstellungen) können sich auf die Compliance auswirken. Es wird empfohlen, zu prüfen, ob die Instanz nach eventuellen Änderungen konform ist. Darüber hinaus müssen Sie möglicherweise weitere Scans durchführen, um nach regelmäßigen, vierteljährlichen DISA STIG-Updates zu suchen.

Das Tool OpenSCAP verwenden

Das Tool OpenSCAP ist in Oracle Linux verfügbar und vom National Institute of Standards and Technologies (NIST) zertifiziert.

  1. Melden Sie sich bei Ihrer Oracle Linux STIG-Imageinstanz an.
  2. Installieren Sie das Package openscap-scanner.
    sudo yum opencap-scanner installieren
  3. Identifizieren Sie die XCCDF- oder Datastream-Datei, die für den Scan verwendet werden soll.

    So verwenden Sie das SSG-Profil "stig":

    1. Installieren Sie das Package scap-security-guide. 
      sudo yum install scap-security-guide
    2. Suchen Sie die Datei, die für den Scan in /usr/share/xml/scap/ssg/content verwendet werden soll.
    So verwenden Sie die Oracle Linux DISA STIG-Benchmark:
    1. Gehen Sie zu https://public.cyber.mil/stigs/downloads/.
    2. Suchen Sie nach Oracle Linux, und laden Sie die entsprechende DISA STIG-Benchmarkdatei herunter.
    3. Entpacken Sie die Datei nach der Herunterladen.
  4. Führen Sie zum Scannen den folgenden Befehl aus: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Weitere Optionen, die Sie mit dem Befehl oscap verwenden können, finden Sie unter Mit OpenSCAP auf Sicherheitslücken scannen in Oracle® Linux 7: Sicherheitsdokumentation und Oracle Linux 8: OpenSCAP für Sicherheitscompliance verwenden.

  5. Prüfen Sie die Auswertungsergebnisse in der Datei path-to-report.html.

Das SSC-Tool verwenden

Das SCC-Tool ist das offizielle Tool zur Prüfung der Einhaltung der gesetzlichen Vorschriften und kann zum Scannen einer Oracle Linux STIG-Imageinstanz verwendet werden.

Wichtig

Um die Arm-Architektur (aarch64) zu scannen, müssen Sie die SCC-Version 5.5 oder neuer verwenden.

Anweisungen zur Verwendung des SCC-Tools finden Sie in der Tabelle "SCAP Tools" unter https://public.cyber.mil/stigs/scap/.

  1. Rufen Sie das SCC-Tool von der Tabelle unter https://public.cyber.mil/stigs/scap/ ab.
  2. Installieren Sie das Tool. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. ZIP-Datei mit der .xml-Datei des SCAP-Inhalts vor dem Import in das SCC-Tool.

    Für das SSG "stig" Profil:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Für die Oracle Linux DISA STIG Benchmark:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. SCC zum Scannen des importierten Inhalts konfigurieren 
    /opt/scc/cscc --config
  5. Führen Sie den Scan über das Befehlszeilenmenü aus:
    1. Geben Sie 1 ein, um SCAP-Inhalt zu konfigurieren.
    2. Geben Sie clear ein, und geben Sie dann die Nummer ein, die dem importierten SCAP-Inhalt entspricht.

      Im folgenden Fall würden Sie 2 für den importierten SCAP-Inhalt für Oracle Linux 7 eingeben. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Geben Sie 0 ein, um zum Hauptmenü zurückzukehren.
    4. Geben Sie 2 ein, um das SCAP-Profil zu konfigurieren.
    5. Geben Sie 1 ein, um das Profil auszuwählen. Stellen Sie sicher, dass "stig" ausgewählt ist. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Kehren Sie zum Hauptmenü zurück. Geben Sie 9 ein, um die Änderungen zu speichern und einen Scan im System auszuführen.
      Der Scan kann 25 bis 30 Minuten dauern.