Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Kapitel 6. OpenSCAP

SCAP ist eine standardisierte Lösung zur Konformitätsprüfung (Compliance) für Linux-Infrastrukturen der Unternehmensklasse. Es besteht aus einer Reihe von Spezifikationen, die vom National Institute of Standards and Technology (NIST) gepflegt werden und der Wahrung der Systemsicherheit von Unternehmenssystemen dienen.
In RHN Satellite Server 5.5 wird SCAP durch die OpenSCAP-Applikation implementiert. OpenSCAP ist ein Auditing-Tool, das das Extensible Configuration Checklist Description Format (XCCDF) verwendet. XCCDF ist ein standardisiertes Format für Prüflisteninhalte und definiert Sicherheitsprüflisten. Es kombiniert zudem andere Spezifikationen wie z.B. CPE, CCE und OVAL, um eine SCAP-Prüfliste zu erstellen, die von SCAP-validierten Produkten verarbeitet werden kann.

6.1. OpenSCAP-Funktionsumfang

OpenSCAP prüft anhand der vom Red Hat Security Response Team (SRT) bereitgestellten Inhalte, ob Patches vorhanden sind, prüft die Konfigurationseinstellungen zur Systemsicherheit und untersucht Systeme auf Hinweise zur Gefährdung anhand von Regeln basierend auf Standards/Spezifikationen.
Es gibt zwei Voraussetzungen, um OpenSCAP effektiv einzusetzen:
  • Ein Tool zum Prüfen, ob ein System einem Standard entspricht
    RHN Satellite Server hat ab Version 5.5 OpenSCAP als Auditing-Feature integriert. Es erlaubt Ihnen das Einplanen und Ansehen von Konformitätsscans für das System über die Weboberfläche.
  • SCAP-Inhalt
    SCAP-Inhalte können von Grund auf neu erstellt werden, sofern Sie Kenntnisse von mindestens XCCDF oder OVAL haben. Alternativ gibt es eine andere Möglichkeit: XCCDF-Inhalte werden häufig online unter Open-Source-Lizenzen veröffentlicht; unter Umständen können Sie diese Inhalte auf Ihre Bedürfnisse anpassen.

    Anmerkung

    Red Hat unterstützt die Verwendung von Vorlagen zur Prüfung Ihres Systems. Allerdings wird die benutzerdefinierte Anpassung dieser Vorlagen nicht unterstützt.
    Ein paar Beispiele für diese Gruppen:
    • The United States Government Configuration Baseline (USGCB) für RHEL5 Desktop — Offizieller SCAP-Inhalt für Arbeitsplatzrechner in US-amerikanischen Bundesbehörden, der von NIST in Zusammenarbeit mit Red Hat, Inc. und dem United States Department of Defense (DoD) unter Verwendung von OVAL entwickelt wurde.
    • Inhalte von der Community
      • SCAP Sicherheitshandbuch für RHEL6 — Aktiver Inhalt aus der Community, basierend auf den USGCB-Anforderungen und verbreiteten Richtlinien; enthält Profile für Arbeitsplatzrecher, Server und FTP-Server.
      • OpenSCAP-Inhalte für RHEL6 — Das openscap-content-Paket aus dem Red Hat Enterprise Linux 6 Optional Channel stellt ebenfalls Hilfestellung zu Standardinhalten für Red Hat Enterprise Linux 6 Systeme mittels einer Vorlage bereit.
Da SCAP zur Wahrung der Systemsicherheit konzipiert wurde, unterliegen die verwendeten Standards kontinuierlichen Änderungen, um mit veränderten Anforderungen der Community und der Unternehmenskunden Schritt zu halten. Neue Spezifikationen werden vom SCAP Release Cycle des NISTs gesteuert, um einen konsistenten und wiederholbaren Revisionszyklus zu gewährleisten.