Nuevo análisis de una instancia para su conformidad

Utilice la herramienta SCC o OpenSCAP para explorar la instancia y verificar que sigue siendo compatible.

Los cambios en una instancia de Oracle Linux STIG Image (como la instalación de otras aplicaciones o la adición de nuevos valores de configuración) pueden afectar a la conformidad. Se recomienda el análisis para comprobar que la instancia sea compatible después de hacer cambios. Además, le recomendamos que realice exploraciones para comprobar si hay actualizaciones regulares y trimestrales de DISA STIG.

Uso de la herramienta OpenSCAP

La herramienta OpenSCAP está disponible en Oracle Linux y está certificada por el Instituto Nacional de Estándares y Tecnologías (NIST).

  1. Conéctese a la instancia de Oracle Linux STIG Image.
  2. Instale el paquete openscap-scanner.
    sudo yum install openscap-scanner
  3. Identifique el archivo XCCDF o de flujo de datos que se va a utilizar para la exploración.

    Para utilizar el perfil SSG "stig":

    1. Instale el paquete scap-security-guide.
      sudo yum install scap-security-guide
    2. Busque el archivo que desea utilizar para la exploración en el directorio /usr/share/xml/scap/ssg/content.
    Para utilizar la referencia de STIG de Oracle Linux DISA:
    1. Vaya a https://public.cyber.mil/stigs/downloads/".
    2. Busque Oracle Linux y descargue el archivo de referencia DISA STIG adecuado.
    3. Descomprima el archivo después de descargarlo.
  4. Para realizar una exploración, ejecute el siguiente comando:
    sudo oscap xccdf eval --profile profile-name \
    --results=path-to-results.xml --oval-results \
    --report=path-to-report.html \
    --check-engine-results \
    --stig-viewer=path-to-stig-viewer-report.xml \
    path-to-xccdf-document

    Para obtener más información sobre las opciones que se pueden utilizar con el comando oscap, consulte la Guía de seguridad de Oracle Linux 7 y Oracle Linux 8: uso de OpenSCAP para conformidad de seguridad.

  5. Consulte el archivo path-to-report.html para ver los resultados de la evaluación.

Uso de la herramienta SCC

La herramienta SCC es la herramienta oficial para comprobar la conformidad por parte del gobierno y se puede utilizar para analizar una instancia de Oracle Linux STIG Image.

Importante

Para explorar una arquitectura de Arm (aarch64), debe utilizar SCC versión 5.5 o posterior.

Para obtener instrucciones sobre el uso de la herramienta SCC, consulte la tabla de herramientas de SCAP en https://public.cyber.mil/stigs/scap/.

  1. Obtenga la herramienta SCC de la tabla ubicada en https://public.cyber.mil/stigs/scap/.
  2. Instale la herramienta SCC.
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
    cd scc-5.4.2_rhel7_x86_64/
    rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Comprima el archivo XML de contenido de SCAP antes de realizar la importación a la herramienta SCC.

    Para el perfil SSG "stig":

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
    /opt/scc/cscc -is ssg_content.zip

    Para la referencia de STIG de Oracle Linux DISA:

    zip scap_content.zip path-to-disa-benchmark-xml-document
    /opt/scc/cscc -is scap_content.zip
  4. Configure SCC para que realice una exploración del contenido importado
    /opt/scc/cscc --config
  5. Realice la exploración utilizando el menú de la línea de comandos:
    1. Introduzca 1 para configurar el contenido de SCAP.
    2. Introduzca clear y, a continuación, introduzca el número que coincida con el contenido de SCAP importado.

      En el ejemplo siguiente, debe introducir 2 para el contenido SCAP importado para Oracle Linux 7.

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
      1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
      2.  [X]  OL-7                                           0.1.54     2021-09-23
      3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
      4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
      5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
      6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
      7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
      
    3. Introduzca 0 para volver al menú principal.
    4. Introduzca 2 para configurar el perfil de SCAP.
    5. Introduzca 1 para seleccionar el perfil. Verifique que "stig" está seleccionado.
      Available Profiles for OL-7
      1.  [ ] no_profile_selected
      2.  [X] stig
    6. Vuelva al menú principal. Introduzca 9 para guardar los cambios y realizar una exploración en el sistema.
      El análisis puede tardar entre 25 y 30 minutos.