Documentación de Oracle Cloud Infrastructure

Nuevo análisis de una instancia para su conformidad

Utilice la herramienta SCC o OpenSCAP para explorar la instancia y verificar que sigue siendo compatible.

Los cambios en una instancia de Oracle Linux STIG Image (como la instalación de otras aplicaciones o la adición de nuevos valores de configuración) pueden afectar a la conformidad. Se recomienda el análisis para comprobar que la instancia sea compatible después de hacer cambios. Además, es posible que necesite realizar análisis posteriores para comprobar si hay actualizaciones periódicas de DISA STIG trimestrales.

Uso de la herramienta OpenSCAP

La herramienta OpenSCAP está disponible en Oracle Linux y está certificada por el Instituto Nacional de Estándares y Tecnologías (NIST).

  1. Conéctese a la instancia de STIG Image de Oracle Linux.
  2. Instale el paquete openscap-scanner.
    Instalación de sudo yum openscap-scanner
  3. Identifique el archivo XCCDF o de flujo de datos que se va a utilizar para la exploración.

    Para utilizar el perfil SSG "stig":

    1. Instale el paquete scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localice el archivo que se va a utilizar para el análisis encontrado en /usr/share/xml/scap/ssg/content.
    Para utilizar la referencia de STIG de Oracle Linux DISA:
    1. Vaya a https://public.cyber.mil/stigs/downloads/".
    2. Busque Oracle Linux y descargue el archivo DISA STIG Benchmark adecuado.
    3. Descomprima el archivo después de descargarlo.
  4. Para realizar una exploración, ejecute el siguiente comando: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Para conocer otras opciones que puede utilizar con el comando oscap, consulte la sección sobre el uso de OpenSCAP para buscar vulnerabilidades en Oracle® Linux 7: Security Guide y Oracle Linux 8: Using OpenSCAP for Security Compliance.

  5. Consulte el archivo path-to-report.html para ver los resultados de la evaluación.

Uso de la herramienta SCC

La herramienta SCC es la herramienta oficial para comprobar la conformidad por parte del gobierno y se puede utilizar para analizar una instancia de Oracle Linux STIG Image.

Importante

Para explorar una arquitectura de Arm (aarch64), debe utilizar SCC versión 5.5 o posterior.

Para obtener instrucciones sobre el uso de la herramienta SCC, consulte la tabla de herramientas de SCAP en https://public.cyber.mil/stigs/scap/.

  1. Obtenga la herramienta SCC de la tabla ubicada en https://public.cyber.mil/stigs/scap/.
  2. Instale la herramienta. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Comprima el archivo .xml de contenido de SCAP antes de realizar la importación en el SCC herramienta.

    Para el perfil SSG "stig":

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Para la referencia de STIG de Oracle Linux DISA:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configure SCC para que realice una exploración del contenido importado 
    /opt/scc/cscc --config
  5. Realice la exploración utilizando el menú de la línea de comandos:
    1. Introduzca 1 para configurar el contenido de SCAP.
    2. Introduzca clear y, a continuación, introduzca el número que coincida con el contenido de SCAP importado.

      En el ejemplo siguiente, debe introducir 2 para el contenido SCAP importado para Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Introduzca 0 para volver al menú principal.
    4. Introduzca 2 para configurar el perfil de SCAP.
    5. Introduzca 1 para seleccionar el perfil. Verifique que "stig" está seleccionado. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Vuelva al menú principal. Introduzca 9 para guardar los cambios y realizar una exploración en el sistema.
      El análisis puede tardar entre 25 y 30 minutos.