Documentation Oracle Cloud Infrastructure

Nouvelle analyse d'une instance pour en vérifier la conformité

Utilisez l'outil SCC ou OpenSCAP pour analyser l'instance afin de vérifier qu'elle reste conforme.

Les modifications apportées à une instance d'image STIG Oracle Linux (comme l'installation d'autres applications ou l'ajout de nouveaux paramètres de configuration) peuvent avoir une incidence sur la conformité. Nous vous recommandons d'effectuer une analyse pour vérifier que l'instance est conforme après chaque modification. De plus, nous vous recommandons d'effectuer des analyses pour vérifier les mises à jour régulières et trimestrielles DISA STIG.

Utilisation de l'outil OpenSCAP

L'outil OpenSCAP est disponible dans Oracle Linux et certifié par le National Institute of Standards and Technologies (NIST).

  1. Connectez-vous à l'instance d'image STIG Oracle Linux.
  2. Installez le package openscap-scanner. 
    sudo yum install openscap-scanner
  3. Identifiez le fichier XCCDF ou de flux de données à utiliser pour l'analyse.

    Pour utiliser le profil "stig" SSG :

    1. Installez le package scap-security-guide. 
      sudo yum install scap-security-guide
    2. Recherchez le fichier à utiliser pour l'analyse dans le répertoire /usr/share/xml/scap/ssg/content.
    Pour utiliser la référence STIG DISA d'Oracle Linux :
    1. Accédez à https://public.cyber.mil/stigs/downloads/".
    2. Recherchez Oracle Linux, puis téléchargez en local le fichier de référence STIG DISA approprié.
    3. Décompressez le fichier après l'avoir téléchargé.
  4. Pour réaliser une analyse, exécutez la commande suivante : 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Pour plus d'informations sur les options pouvant être utilisées avec la commande oscap, reportez-vous au Guide de sécurité Oracle Linux 7 et au Guide de sécurité Oracle Linux 8 : utilisation de OpenSCAP pour la conformité à la sécurité.

  5. Recherchez les résultats de l'évaluation dans le fichier path-to-report.html.

Utilisation de l'outil SCC

L'outil SCC est l'outil officiel de vérification de la conformité gouvernementale et peut être utilisé pour analyser une instance d'image STIG Oracle Linux.

Important

Pour analyser une architecture Arm (aarch64), vous devez utiliser SCC version 5.5 ou ultérieure.

Pour obtenir des instructions sur l'utilisation de l'outil SCC, reportez-vous au tableau des outils SCAP à l'adresse https://public.cyber.mil/stigs/scap/.

  1. Obtenez l'outil SCC à partir du tableau disponible à l'adresse https://public.cyber.mil/stigs/scap/.
  2. Installer l'outil SCC. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compressez le fichier XML de contenu SCAP avant de l'import dans l'outil SCC.

    Pour le profil "stig" de la SSG :

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Pour le test d'évaluation STIG DISA d'Oracle Linux :

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configurez SCC pour analyser le contenu importé. 
    /opt/scc/cscc --config
  5. Effectuez l'analyse à l'aide du menu de ligne de commande :
    1. Saisissez 1 pour configurer le contenu SCAP.
    2. Saisissez clear, puis le numéro correspondant au contenu SCAP importé.

      Dans l'exemple suivant, vous devez saisir 2 pour le contenu SCAP importé pour Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Saisissez 0 pour revenir au menu principal.
    4. Saisissez 2 pour configurer le profil SCAP.
    5. Saisissez 1 pour sélectionner le profil. Vérifiez que "stig" est sélectionné. 
      Available Profiles for OL-7
1.  [ ] no_profile_selected
2.  [X] stig
    6. Revenez au menu principal. Saisissez 9 pour enregistrer les modifications et effectuer une analyse sur le système.
      L'analyse peut prendre de 25 à 30 minutes.