Ripristino di un'istanza per la conformità

Utilizzare lo strumento SCC o OpenSCAP per eseguire la scansione dell'istanza per verificarne la conformità.

Le modifiche a un'istanza di Oracle Linux STIG Image (ad esempio l'installazione di altre applicazioni o l'aggiunta di nuove impostazioni di configurazione) possono influire sulla conformità. Si consiglia di eseguire la scansione per verificare che l'istanza sia conforme dopo eventuali modifiche. Inoltre, potrebbe essere necessario eseguire scansioni successive per verificare la presenza di aggiornamenti regolari e trimestrali di DISA STIG.

Utilizzo dello strumento OpenSCAP

Lo strumento OpenSCAP è disponibile in Oracle Linux e certificato dal National Institute of Standards and Technologies (NIST).

  1. Accedi all'istanza dell'immagine STIG di Oracle Linux.
  2. Installare il pacchetto openscap-scanner.
    sudo yum install openscap-scanner
  3. Identificare il file XCCDF o datastream da utilizzare per la scansione.

    Per utilizzare il profilo "stig" SSG:

    1. Installare il pacchetto scap-security-guide.
      sudo yum install scap-security-guide
    2. Individuare il file da utilizzare per la scansione in /usr/share/xml/scap/ssg/content.
    Per utilizzare il benchmark Oracle Linux DISA STIG:
    1. Andare a https://public.cyber.mil/stigs/downloads/".
    2. Cerca Oracle Linux e scarica il file DISA STIG Benchmark appropriato.
    3. Decomprimere il file dopo averlo scaricato.
  4. Per eseguire una scansione, eseguire il comando seguente:
    sudo oscap xccdf eval --profile profile-name \
    --results=path-to-results.xml --oval-results \
    --report=path-to-report.html \
    --check-engine-results \
    --stig-viewer=path-to-stig-viewer-report.xml \
    path-to-xccdf-document

    Per altre opzioni utilizzabili con il comando oscap, vedere Using OpenSCAP to Scan for Vulnerabilities nel manuale Oracle® Linux 7: Security Guide e Oracle Linux 8: Using OpenSCAP for Security Compliance.

  5. Controllare i risultati della valutazione nel file path-to-report.html.

Utilizzo dello strumento SCC

Lo strumento SCC è lo strumento ufficiale per il controllo della conformità governativa e può essere utilizzato per eseguire la scansione di un'istanza di immagine STIG di Oracle Linux.

Importante

Per eseguire la scansione dell'architettura Arm (aarch64), è necessario utilizzare SCC versione 5.5 o successiva.

Per istruzioni sull'uso dello strumento SCC, vedere la tabella Strumenti SCAP all'indirizzo https://public.cyber.mil/stigs/scap/.

  1. Ottenere lo strumento SCC dalla tabella all'indirizzo https://public.cyber.mil/stigs/scap/.
  2. Installare lo strumento.
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
    cd scc-5.4.2_rhel7_x86_64/
    rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Comprimere il file .xml del contenuto SCAP prima di eseguire l'importazione nello strumento SCC.

    Per il profilo "stig" SSG:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
    /opt/scc/cscc -is ssg_content.zip

    Per il benchmark Oracle Linux DISA STIG:

    zip scap_content.zip path-to-disa-benchmark-xml-document
    /opt/scc/cscc -is scap_content.zip
  4. Configurare SCC per la scansione rispetto al contenuto importato
    /opt/scc/cscc --config
  5. Eseguire la scansione utilizzando il menu a riga di comando:
    1. Immettere 1 per configurare il contenuto SCAP.
    2. Immettere clear, quindi immettere il numero corrispondente al contenuto SCAP importato.

      Nell'esempio seguente è possibile immettere 2 per il contenuto SCAP importato per Oracle Linux 7.

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
      1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
      2.  [X]  OL-7                                           0.1.54     2021-09-23
      3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
      4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
      5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
      6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
      7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
      
    3. Immettere 0 per tornare al menu principale.
    4. Immettere 2 per configurare il profilo SCAP.
    5. Immettere 1 per selezionare il profilo. Verificare che "stig" sia selezionato.
      Available Profiles for OL-7
      
      1.  [ ] no_profile_selected
      2.  [X] stig
    6. Torna al menu Principale. Immettere 9 per salvare le modifiche ed eseguire una scansione sul sistema.
      La scansione potrebbe richiedere dai 25 ai 30 minuti.