Documentation Oracle Cloud Infrastructure

Nouvelle analyse d'une instance pour en vérifier la conformité

Utilisez l'outil SCC ou OpenSCAP pour analyser l'instance afin de vérifier qu'elle reste conforme.

Les modifications apportées à une instance d'image STIG Oracle Linux (comme l'installation d'autres applications ou l'ajout de nouveaux paramètres de configuration) peuvent avoir une incidence sur la conformité. Nous vous recommandons d'effectuer une analyse pour vérifier que l'instance est conforme après chaque modification. En outre, vous devrez peut-être effectuer des analyses ultérieures pour rechercher les mises à jour trimestrielles régulières du STIG de la DISA.

Utilisation de l'outil OpenSCAP

L'outil OpenSCAP est disponible dans Oracle Linux et certifié par le National Institute of Standards and Technologies (NIST).

  1. Connectez-vous à votre instance d'image STIG Oracle Linux.
  2. Installez le package openscap-scanner.
    installation sudo yum openscap-scanner
  3. Identifiez le fichier XCCDF ou de flux de données à utiliser pour l'analyse.

    Pour utiliser le profil "stig" SSG :

    1. Installez le package scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localisez le fichier à utiliser pour l'analyse trouvée dans /usr/share/xml/scap/ssg/content.
    Pour utiliser la référence STIG DISA d'Oracle Linux :
    1. Accédez à https://public.cyber.mil/stigs/downloads/".
    2. Recherchez Oracle Linux, puis téléchargez en local le fichier de référence STIG DISA approprié.
    3. Décompressez le fichier après l'avoir téléchargé.
  4. Pour réaliser une analyse, exécutez la commande suivante : 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Pour connaître les autres options que vous pouvez utiliser avec la commande oscap, reportez-vous à Utilisation d'OpenSCAP pour effectuer des analyses à la recherche de vulnérabilités dans Oracle® Linux 7 : Guide de sécurité et Oracle Linux 8 : Utilisation d'OpenSCAP pour la conformité en matière de sécurité.

  5. Recherchez les résultats de l'évaluation dans le fichier path-to-report.html.

Utilisation de l'outil SCC

L'outil SCC est l'outil officiel de vérification de la conformité gouvernementale et peut être utilisé pour analyser une instance d'image STIG Oracle Linux.

Important

Pour analyser une architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

Pour obtenir des instructions sur l'utilisation de l'outil SCC, reportez-vous au tableau des outils SCAP à l'adresse https://public.cyber.mil/stigs/scap/.

  1. Obtenez l'outil SCC à partir du tableau disponible à l'adresse https://public.cyber.mil/stigs/scap/.
  2. Installez l'outil. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compressez le fichier .xml de contenu SCAP avant de l'import dans l'outil SCC.

    Pour le profil "stig" de la SSG :

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Pour le test d'évaluation STIG DISA d'Oracle Linux :

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configurez SCC pour analyser le contenu importé. 
    /opt/scc/cscc --config
  5. Effectuez l'analyse à l'aide du menu de ligne de commande :
    1. Saisissez 1 pour configurer le contenu SCAP.
    2. Saisissez clear, puis le numéro correspondant au contenu SCAP importé.

      Dans l'exemple suivant, vous devez saisir 2 pour le contenu SCAP importé pour Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Saisissez 0 pour revenir au menu principal.
    4. Saisissez 2 pour configurer le profil SCAP.
    5. Saisissez 1 pour sélectionner le profil. Vérifiez que "stig" est sélectionné. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Revenez au menu principal. Saisissez 9 pour enregistrer les modifications et effectuer une analyse sur le système.
      L'analyse peut prendre de 25 à 30 minutes.