Documentação do Oracle Cloud Infrastructure

Verificando Novamente a Conformidade de uma Instância

Use a ferramenta SCC ou OpenSCAP para verificar se a instância permanece em conformidade.

As alterações em uma instância da Imagem do Oracle Linux STIG (como instalar outros aplicativos ou adicionar novas definições de configuração) podem afetar a conformidade. É recomendável fazer a verificação para verificar se a instância está em conformidade após qualquer alteração. Além disso, pode ser necessário executar verificações subsequentes para ver se existem atualizações regulares trimestrais do DISA para o STIG .

Usando a Ferramenta OpenSCAP

A ferramenta OpenSCAP está disponível no Oracle Linux e é certificada pelo NIST (National Institute of Standards and Technologies).

  1. Acesse a sua instância da Imagem do Oracle Linux STIG.
  2. Instale o pacote openscap-scanner.
    sudo yum install openscap-scanner
  3. Identifique o arquivo XCCDF ou de fluxo de dados a ser usado para a verificação.

    Para usar o perfil "stig" do SSG:

    1. Instale o pacote scap-security-guide. 
      sudo yum install scap-security-guide
    2. Localize o arquivo a ser usado para a verificação encontrada em /usr/share/xml/scap/ssg/content.
    Para usar o Benchmark DISA STIG do Oracle Linux:
    1. Vá para https://public.cyber.mil/stigs/downloads/".
    2. Pesquise o Oracle Linux e Faça download do arquivo DISA STIG Benchmark apropriado.
    3. Descompacte o arquivo após o download.
  4. Para fazer uma verificação, execute o seguinte comando: 
    sudo oscap xccdf eval --profile profile-name \
--results=path-to-results.xml --oval-results \
--report=path-to-report.html \
--check-engine-results \
--stig-viewer=path-to-stig-viewer-report.xml \
path-to-xccdf-document

    Para obter outras opções que você pode usar com o comando oscap, consulte Using OpenSCAP to Scan for Vulnerabilities no Oracle® Linux 7: Security Guide e Oracle Linux 8: Using OpenSCAP for Security Compliance.

  5. Verifique o arquivo path-to-report.html para obter os resultados da avaliação.

Usando a Ferramenta SCC

A ferramenta SCC é a ferramenta oficial para verificar a conformidade governamental e pode ser usada para verificar uma instância da Imagem do Oracle Linux STIG.

Importante

Para escanear a arquitetura Arm (aarch64), use o SCC versão 5.5 ou mais recente.

Para obter instruções sobre como usar a ferramenta SCC, consulte a tabela Ferramentas SCAP em https://public.cyber.mil/stigs/scap/.

  1. Obtenha a ferramenta SCC na tabela em https://public.cyber.mil/stigs/scap/.
  2. Instale a ferramenta. 
    unzip scc-5.4.2_rhel7_sles12-15_oracle-linux7_x86_64_bundle.zip
cd scc-5.4.2_rhel7_x86_64/
rpm -i scc-5.4.2.rhel7.x86_64.rpm
  3. Compacte o arquivo .xml de conteúdo SCAP antes de importar para a ferramenta SCC.

    Para o perfil "stig" do SSG:

    zip ssg_content.zip /usr/share/xml/scap/ssg/content/xml-document
/opt/scc/cscc -is ssg_content.zip

    Para o Benchmark DISA STIG do Oracle Linux:

    zip scap_content.zip path-to-disa-benchmark-xml-document
/opt/scc/cscc -is scap_content.zip
  4. Configure o SCC para verificar o conteúdo importado 
    /opt/scc/cscc --config
  5. Execute a verificação usando o menu de linha de comando:
    1. Digite 1 para configurar o conteúdo do SCAP.
    2. Insira clear e informe o número que corresponde ao conteúdo SCAP importado.

      No exemplo a seguir, informe 2 para o conteúdo SCAP importado do Oracle Linux 7. 

      SCC 5.4.2 Available SCAP Content                        [Version]  [Date]    
1.  [ ]  Mozilla_Firefox_RHEL                           005.003    2021-06-09
2.  [X]  OL-7                                           0.1.54     2021-09-23
3.  [ ]  Oracle_Linux_7_STIG                            002.004    2021-06-14
4.  [ ]  RHEL_6_STIG                                    002.002    2020-12-04
5.  [ ]  RHEL_7_STIG                                    003.004    2021-06-14
6.  [ ]  RHEL_8_STIG                                    001.002    2021-06-14
7.  [ ]  SLES_12_STIG                                   002.004    2021-06-14
    3. Informe 0 para retornar ao menu principal.
    4. Digite 2 para configurar o perfil SCAP.
    5. Informe 1 para selecionar o perfil. Verifique se a opção "stig" está selecionada. 
      Available Profiles for OL-7

1.  [ ] no_profile_selected
2.  [X] stig
    6. Retorne ao menu principal. Insira 9 para salvar as alterações e realizar uma verificação no sistema.
      A varredura pode levar de 25 a 30 minutos.