Documentation sur Oracle Cloud Infrastructure

Rebalayer une instance pour vérifier sa conformité

Utilisez l'outil SCC ou OpenSCAP pour balayer l'instance afin de vérifier qu'elle est toujours conforme.

Les modifications apportées à une instance d'image Oracle Linux STIG (par exemple, l'installation d'autres applications ou l'ajout de nouveaux paramètres de configuration) peuvent avoir une incidence sur la conformité. Nous vous recommandons d'analyser l'instance pour vérifier sa conformité après toute modification. En outre, vous devrez peut-être effectuer des balayages ultérieurs pour détecter les mises à jour trimestrielles de la norme STIG de l'agence DISA.

Utilisation de l'outil OpenSCAP

L'outil OpenSCAP est disponible dans Oracle Linux et certifié par le NIST (National Institute of Standards and Technologies).

  1. Connectez-vous à votre instance d'image Oracle Linux STIG.
  2. Installez l'ensemble openscap-scanner.
    sudo yum install openscap-scanner
  3. Identifiez le fichier XCCDF ou le fichier de flux de données à utiliser pour l'analyse.

    Pour utiliser le profil SSG "stig" :

    1. Installez l'ensemble scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localisez le fichier à utiliser pour le balayage trouvé dans /usr/share/xml/scap/ssg/content.
    Pour utiliser la norme STIG de la DISA Oracle Linux :
    1. Allez à https://public.cyber.mil/stigs/downloads/".
    2. Cherchez Oracle Linux et téléchargez le fichier de référence STIG de la DISA approprié.
    3. Décompressez le fichier après l'avoir téléchargé.
  4. Pour effectuer un balayage, exécutez la commande suivante : 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Pour connaître les autres options que vous pouvez utiliser avec la commande oscap, voir Utilisation d'OpenSCAP pour le balayage de vulnérabilités dans les documents Oracle® Linux 7 : Guide de sécurité et Oracle Linux 8 : Utilisation d'OpenSCAP pour la conformité en matière de sécurité.

  5. Vérifiez les résultats de l'évaluation dans le fichier path-to-report.html.

Utilisation de l'outil SCC

SCC est l'outil officiel de vérification de la conformité aux normes gouvernementales. Il peut être utilisé pour balayer une instance d'image Oracle Linux STIG.

Important

Pour analyser l'architecture ARM (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

Pour obtenir des instructions sur l'utilisation de l'outil SCC, consultez le tableau des outils SCAP à l'adresse https://public.cyber.mil/stigs/scap/.

  1. Procurez-vous l'outil SCC à partir du tableau à l'adresse https://public.cyber.mil/stigs/scap/.
  2. Installez l'outil. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compressez le fichier SCAP content .xml avant de l'importer dans l'outil SCC.

    Pour le profil SSG "stig" :

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Pour la norme STIG de la DISA Oracle Linux :

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configurez SCC pour effectuer un balayage sur le contenu importé. 
    /opt/scc/cscc --config
  5. Effectuez le balayage à l'aide du menu de la ligne de commande :
    1. Entrez 1 pour configurer le contenu SCAP.
    2. Entrez clear, puis entrez le numéro correspondant au contenu SCAP importé.

      In the following example, you would enter 2 for the imported SCAP content for Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Entrez 0 pour retourner au menu principal.
    4. Entrez 2 pour configurer le profil SCAP.
    5. Entrez 1 pour sélectionner le profil. Vérifiez que "stig" est sélectionné. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Retournez au menu principal. Entrez 9 pour enregistrer les modifications et effectuer un balayage sur le système.
      L'analyse peut prendre de 25 à 30 minutes.