Red Hat Training
A Red Hat training course is available for Red Hat Satellite
6.2. OpenSCAP in RHN Satellite
6.2.1. Voraussetzungen
Paketvoraussetzungen
SCAP erfordert die folgenden Pakete:
- Für den Server: RHN Satellite 5.5
- Für den Client: spacewalk-oscap-Paket (verfügbar vom RHN Tools Sub-Channel)
Berechtigungsvoraussetzungen
Eine Management-Berechtigung ist erforderlich, um Scans einzuplanen.
Sonstige Voraussetzungen
Für den Client: Verteilen der XCCDF-Inhalte an Client-Rechner
Sie können die XCCDF-Inhalte mit einer der folgenden Methoden auf die Client-Rechner verteilen:
- Herkömmliche Methoden (CD, USB, nfs, scp, ftp)
- Satellite-Skripte
- RPMsAngepasste RPMs sind die empfohlene Methode zum Verteilen von SCAP-Inhalten auf andere Rechner. RPM-Pakete können signiert und verifiziert werden, um deren Integrität sicherzustellen. Installation, Entfernung und Verifizierung von RPM-Paketen kann von der Benutzeroberfläche aus gehandhabt werden.
6.2.2. Durchführen von Prüfscans
Die OpenSCAP-Integration im RHN Satellite Server ermöglicht es Ihnen, Prüfscans auf Client-Systemen durchzuführen. Dieser Abschnitt erläutert die beiden verfügbaren Methoden.
Prozedur 6.1. Scans über die Weboberfläche
Führen Sie die folgenden Schritte aus, um einen Scan über die Satellite-Weboberfläche durchzuführen:
- Melden Sie sich auf der Satellite-Weboberfläche an.
- Klicken Sie auf Systeme → Zielsystem.
- Klicken Sie auf Prüfen → Plan
- Füllen Sie das
Neuen XCCDF-Scan planen
Formular aus:- Befehlszeilenparameter: In diesem Feld können zusätzliche Parameter für das oscap-Tool angegeben werden. Nur zwei Befehlszeilenparameter sind zulässig, und zwar:
--profile PROFILE
— Wählt ein bestimmtes Profil aus dem XCCDF-Dokument. Profile sind in der XCCDF-XML-Datei festgelegt und können mithilfe desProfile id
-Tags geprüft werden. Zum Beispiel:Profile id="RHEL6-Default"
Anmerkung
Bestimmte Versionen von OpenSCAP benötigen den --profile Befehlszeilenparameter, andernfalls wird der Scan fehlschlagen.--skip-valid
— Ein-/Ausgabedateien nicht validieren. Benutzer mit ordnungsgemäßem XCCDF-Inhalt können mithilfe dieser Option die Dateivalidierung überspringen.Falls kein Befehlszeilenparameter angegeben ist, wird das Standardprofil verwendet. - Pfad zum XCCDF-Dokument: Dies ist ein erforderliches Feld. Der
path
-Parameter verweist auf den Speicherort der Inhalte auf dem Client-System. Zum Beispiel:/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml
Warnung
Der XCCDF-Inhalt wird validiert, bevor er auf dem entfernten System ausgeführt wird. Werden ungültige Parameter angegeben, so kann die Ausführung oder Validierung von spacewalk-oscap fehlschlagen. Aus Sicherheitsgründen akzeptiert der 'osccap xccdf eval' Befehl nur ein eingeschränkte Reihe von Parametern.
- Führen Sie
rhn_check
aus um sicherzugehen, dass die Aktion vom Client-System übernommen wird.rhn_check -vv
Anmerkung
Alternativ, fallsrhnsd
oderosad
auf dem Client-System laufen, so wird die Aktion von diesen Diensten übernommen. Um sicherzustellen, dass diese Dienste laufen:service rhnsd start
oderservice osad start
Zum Ansehen der Scanergebnisse werfen Sie bitte einen Blick auf Abschnitt 6.2.3, »Anzeigen von SCAP-Ergebnissen«.
Abbildung 6.1. Einplanen eines Scans per Weboberfläche
Prozedur 6.2. Scans per API
Um einen Prüfscan per API durchzuführen:
- Wählen Sie ein vorhandenes Skript oder erstellen Sie ein Skript, um einen Systemscan über die Frontend-API
system.scap.scheduleXccdfScan
einzuplanen.Beispielskript:#!/usr/bin/python client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')
Wobei gilt:- 1000010001 ist die
System-ID (sid)
. /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml
ist der Pfadparameter, der auf den Speicherort des Inhalts auf dem Client-System verweist. In diesem Fall befindet sich der USGSB-Inhalt im/usr/local/share/scap
-Verzeichnis.--profile united_states_government_configuration_baseline
steht für den zusätzlichen Parameter für das oscap-Tool. In diesem Fall wird USCFGB verwendet.
- Führen Sie das Skript auf der Befehlszeile eines beliebigen Systems aus. Das System benötigt die entsprechenden python- und xmlrpc-Bibliotheken.
- Führen Sie
rhn_check
aus um sicherzugehen, dass die Aktion vom Client-System übernommen wird.rhn_check -vv
Anmerkung
Alternativ, fallsrhnsd
oderosad
auf dem Client-System laufen, so wird die Aktion von diesen Diensten übernommen. Um sicherzustellen, dass diese Dienste laufen:service rhnsd start
oderservice osad start
6.2.3. Anzeigen von SCAP-Ergebnissen
Es gibt drei Methoden zum Anzeigen der Ergebnisse von abgeschlossenen Scans:
- Per Weboberfläche. Sobald die Aktion ausgeführt wurde, sollten die Ergebnisse auf dem Prüfen-Reiter des Systems erscheinen. Diese Seite wird in Abschnitt 6.2.4, »OpenSCAP Satellite-Seiten« erläutert.
- Per API-Funktionen in Handler
system.scap
. - Per
spacewalk-reports
-Tool des Satellites durch Ausführen der folgenden Befehle:# /usr/bin/spacewalk-reports system-history-scap # /usr/bin/spacewalk-reports scap-scan # /usr/bin/spacewalk-reports scap-scan-results
6.2.4. OpenSCAP Satellite-Seiten
Die folgenden Abschnitte beschreiben die Reiter auf der RHN Satellite Weboberfläche, die OpenSCAP umfassen.
6.2.4.1. Prüfen
Der Prüfen-Reiter auf der oberen Navigationsleiste ist die umfassende Seite für die OpenSCAP-Funltionalität in RHN Satellite Server 5.5. Klicken Sie auf diesen Reiter, um abgeschlossene OpenSCAP-Scans anzusehen, zu durchsuchen und zu vergleichen.
- Prüfen → Alle Scans
- Alle Scans ist die Standardseite, die beim Klick auf den Prüfen-Reiter angezeigt wird. Diese Seite zeigt alle abgeschlossenen OpenSCAP-Scans, die der Benutzer zu sehen berechtigt ist. Die Berechtigungen für die Scans werden aus den Systemberechtigungen abgeleitet.
Abbildung 6.2. Prüfen ⇒ Alle Scans
Für jeden Scan werden die folgenden Informationen angezeigt:- System
- Das Zielsystem des Scans
- XCCDF-Profil
- Das evaluierte Profil
- Abgeschlossen
- Zeit der Fertigstellung
- Erfüllt
- Die Anzahl der Regeln, die erfüllt bzw. erfolgreich waren. Eine Regel wird als erfüllt betrachtet, wenn das Ergebnis der Evaluierung entweder "Erfolgreich" oder "Behoben" ist.
- Nicht erfüllt
- Die Anzahl der Regeln, die nicht erfüllt wurden bzw. fehlgeschlagen sind. Eine Regel wird als nicht erfüllt betrachtet, wenn das Ergebnis der Evaluierung "Fehlgeschlagen" ist.
- Unbekannt
- Die Anzahl der Regeln, die nicht evaluiert werden konnten. Eine Regel wird als "unbekannt" betrachtet, wenn das Ergebnis der Evaluierung "Fehler", "Unbekannt" oder "Nicht geprüft" ist.
Die Evaluierung von XCCDF-Regeln kann auch Status wie Informationell, Nicht zutreffend oder Nicht ausgewählt zurückgeben. In diesen Fällen ist die jeweilige Regel in den Statistiken auf dieser Seite nicht enthalten. Siehe Systemdetails → Prüfen für Informationen über diese Regeln. - Prüfen → XCCDF Diff
- XCCDF Diff ist eine Applikation, die den Vergleich von zwei XCCDF-Scans grafisch veranschaulicht. Sie zeigt Metadaten für zwei Scans sowie die Liste der Ergebnisse.
Abbildung 6.3. Prüfen ⇒ XCCDF Diff
Sie können auf dasdiff
von ähnlichen Scans direkt zugreifen, indem Sie auf das Icon auf der Seite Scans auflisten klicken, oder Sie können eindiff
von beliebigen Scans erstellen, indem Sie deren IDs angeben.Objekte, die nur in einem der verglichenen Scans auftreten, werden als "unterschiedliche" Elemente betrachtet. Unterschiedliche Objekte sind in beige hervorgehoben. Es gibt drei Vergleichsmodi: Kompletter Abgleich, bei dem alle Scanobjekte gezeigt werden, Nur geänderte Objekte, bei dem nur die geänderten Objekte angezeigt werden, sowie Nur unveränderliche Objekte, bei dem unveränderte oder ähnliche Objekte gezeigt werden. - Prüfen → Erweiterte Suche
- Die Suchseite ermöglicht Ihnen das Durchsuchen Ihrer Scans anhand bestimmter Kriterien, so z.B.:
- Regelergebnisse
- Zielrechner
- Zeitspanne des Scans
Abbildung 6.4. Prüfen ⇒ Erweiterte Suche
Die Suche gibt entweder eine Liste mit Ergebnissen aus oder eine Liste mit Scans, die in den Ergebnissen enthalten sind.
6.2.4.2. Systeme → Systemdetails → Prüfen
Dieser Reiter samt Unterreitern ermöglicht Ihnen das Einplanen und Anzeigen von Konformitätsscans für das System. Ein Scan wird vom SCAP-Tool durchgeführt, das den NIST-Standard SCAP (Security Content Automation Protocol) implementiert. Um das System zu scannen, vergewissern Sie sich, dass der SCAP-Inhalt vorbereitet ist und die Voraussetzungen in Abschnitt 6.2.1, »Voraussetzungen« erfüllt sind.
- Systeme → Systemdetails → Prüfen → Scans auflisten
Abbildung 6.5. Systeme ⇒ Systemdetails ⇒ Prüfen ⇒ Scans auflisten, Scan-Ergebnisse
Dieser Unterreiter zeigt eine Zusammenfassung aller abgeschlossenen Scans auf dem System. Folgende Spalten werden angezeigt:Tabelle 6.1. OpenSCAP Scan-Labels
Spalten-Label Definition XCCDF-Testergebnis Der Testergebnis-Name des Scans mit Link zu detaillierten Ergebnissen Abgeschlossen Die genaue Zeit, an der der Scan abgeschlossen wurde Konformität Ungewichtetes erfolgreich/fehlgeschlagen-Verhältnis der Konformität mit dem verwendeten Standard P Anzahl der Prüfungen, die erfolgreich waren F Anzahl der Prüfungen, die fehlgeschlagen sind E Aufgetretene Fehler im Scan U Unbekannt N Nicht auf die Maschine zutreffend K Nicht geprüft S Nicht ausgewählt I Informationell X Behoben Gesamt Gesamtanzahl der Prüfungen Jede Zeile beginnt mit einem Icon, das das Ergebnis eines Vergleichs zu einem vorherigen ähnlichen Scan anzeigt. Das Icon zeigt an, dass der neuere Scan entweder:- — keinen Unterschied zum vorherigen Scan aufweist
- — einige Unterschiede aufweist
- — wesentliche Unterschiede aufweist, entweder sind mehr Prüfungen fehlgeschlagen oder weniger erfolgreich verlaufen als im vorherigen Scan
- — kein vergleichbarer Scan wurde gefunden, somit wurde kein Vergleich angestellt.
- Systeme → Systemdetails → Prüfen → Scan-Details
- Diese Seite enthält die Ergebnisse eines einzelnen Scans. Sie kann in zwei Teile unterteilt werden:
- Details des XCCDF-ScansDie Details des Scans umfassen:
- die allgemeinen Informationen des Dateipfads
- welche Befehlszeilenparameter verwendet wurden
- wer ihn eingeplant hat
- die Benchmark-Kennzeichnung und -Version
- die Profilkennzeichnung
- den Profiltitel
- wann er gestartet und abgeschlossen wurde
- sowie etwaige Fehlerausgabe.
- XCCDF-RegelergebnisseDas Regelergebnis zeigt die vollständige Liste mit XCCDF-Regelkennzeichnungen, Tags und das Ergebnis für jede dieser Regelergebnisse. Diese Liste kann nach einem bestimmten Ergebnis gefiltert werden.
- Systeme → Systemdetails → Prüfen → Plan
- Auf diesem Unterreiter können neue Scans eingeplant werden. Zusätzliche Befehlszeilenparameter können angegeben werden, sowie der Pfad zum XCCDF-Dokument auf dem System, das gescannt wird. Basierend auf dem "
Nicht früher einplanen als
" Parameter wird der Scan bei der nächsten Anmeldung des Systems beim Satellite-Server gescannt. Weitere Informationen über das Einplanen über die Satellite-Weboberfläche finden Sie in Prozedur 6.1, »Scans über die Weboberfläche« in diesem Kapitel.