Red Hat Training

A Red Hat training course is available for Red Hat Satellite

6.2. OpenSCAP in RHN Satellite

6.2.1. Voraussetzungen

Paketvoraussetzungen

SCAP erfordert die folgenden Pakete:

  • Für den Server: RHN Satellite 5.5
  • Für den Client: spacewalk-oscap-Paket (verfügbar vom RHN Tools Sub-Channel)
Berechtigungsvoraussetzungen

Eine Management-Berechtigung ist erforderlich, um Scans einzuplanen.

Sonstige Voraussetzungen

Für den Client: Verteilen der XCCDF-Inhalte an Client-Rechner

Sie können die XCCDF-Inhalte mit einer der folgenden Methoden auf die Client-Rechner verteilen:
  • Herkömmliche Methoden (CD, USB, nfs, scp, ftp)
  • Satellite-Skripte
  • RPMs
    Angepasste RPMs sind die empfohlene Methode zum Verteilen von SCAP-Inhalten auf andere Rechner. RPM-Pakete können signiert und verifiziert werden, um deren Integrität sicherzustellen. Installation, Entfernung und Verifizierung von RPM-Paketen kann von der Benutzeroberfläche aus gehandhabt werden.

6.2.2. Durchführen von Prüfscans

Die OpenSCAP-Integration im RHN Satellite Server ermöglicht es Ihnen, Prüfscans auf Client-Systemen durchzuführen. Dieser Abschnitt erläutert die beiden verfügbaren Methoden.

Prozedur 6.1. Scans über die Weboberfläche

Führen Sie die folgenden Schritte aus, um einen Scan über die Satellite-Weboberfläche durchzuführen:
  1. Melden Sie sich auf der Satellite-Weboberfläche an.
  2. Klicken Sie auf SystemeZielsystem.
  3. Klicken Sie auf PrüfenPlan
  4. Füllen Sie das Neuen XCCDF-Scan planen Formular aus:
    • Befehlszeilenparameter: In diesem Feld können zusätzliche Parameter für das oscap-Tool angegeben werden. Nur zwei Befehlszeilenparameter sind zulässig, und zwar:
      --profile PROFILE — Wählt ein bestimmtes Profil aus dem XCCDF-Dokument. Profile sind in der XCCDF-XML-Datei festgelegt und können mithilfe des Profile id-Tags geprüft werden. Zum Beispiel: 
      Profile id="RHEL6-Default"

      Anmerkung

      Bestimmte Versionen von OpenSCAP benötigen den --profile Befehlszeilenparameter, andernfalls wird der Scan fehlschlagen.
      --skip-valid — Ein-/Ausgabedateien nicht validieren. Benutzer mit ordnungsgemäßem XCCDF-Inhalt können mithilfe dieser Option die Dateivalidierung überspringen.
      Falls kein Befehlszeilenparameter angegeben ist, wird das Standardprofil verwendet.
    • Pfad zum XCCDF-Dokument: Dies ist ein erforderliches Feld. Der path-Parameter verweist auf den Speicherort der Inhalte auf dem Client-System. Zum Beispiel: /usr/local/scap/dist_rhel6_scap-rhel6-oval.xml

      Warnung

      Der XCCDF-Inhalt wird validiert, bevor er auf dem entfernten System ausgeführt wird. Werden ungültige Parameter angegeben, so kann die Ausführung oder Validierung von spacewalk-oscap fehlschlagen. Aus Sicherheitsgründen akzeptiert der 'osccap xccdf eval' Befehl nur ein eingeschränkte Reihe von Parametern.
  5. Führen Sie rhn_check aus um sicherzugehen, dass die Aktion vom Client-System übernommen wird. 
    rhn_check -vv

    Anmerkung

    Alternativ, falls rhnsd oder osad auf dem Client-System laufen, so wird die Aktion von diesen Diensten übernommen. Um sicherzustellen, dass diese Dienste laufen: 
    service rhnsd start
    oder 
    service osad start
Zum Ansehen der Scanergebnisse werfen Sie bitte einen Blick auf Abschnitt 6.2.3, »Anzeigen von SCAP-Ergebnissen«.
Einplanen eines Scans per Weboberfläche

Abbildung 6.1. Einplanen eines Scans per Weboberfläche

Prozedur 6.2. Scans per API

Um einen Prüfscan per API durchzuführen:
  1. Wählen Sie ein vorhandenes Skript oder erstellen Sie ein Skript, um einen Systemscan über die Frontend-API system.scap.scheduleXccdfScan einzuplanen.
    Beispielskript: 
    #!/usr/bin/python
client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
key = client.auth.login('username', 'password')
client.system.scap.scheduleXccdfScan(key, 1000010001,
    '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
    '--profile united_states_government_configuration_baseline')
    Wobei gilt:
    • 1000010001 ist die System-ID (sid).
    • /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml ist der Pfadparameter, der auf den Speicherort des Inhalts auf dem Client-System verweist. In diesem Fall befindet sich der USGSB-Inhalt im /usr/local/share/scap-Verzeichnis.
    • --profile united_states_government_configuration_baseline steht für den zusätzlichen Parameter für das oscap-Tool. In diesem Fall wird USCFGB verwendet.
  2. Führen Sie das Skript auf der Befehlszeile eines beliebigen Systems aus. Das System benötigt die entsprechenden python- und xmlrpc-Bibliotheken.
  3. Führen Sie rhn_check aus um sicherzugehen, dass die Aktion vom Client-System übernommen wird. 
    rhn_check -vv

    Anmerkung

    Alternativ, falls rhnsd oder osad auf dem Client-System laufen, so wird die Aktion von diesen Diensten übernommen. Um sicherzustellen, dass diese Dienste laufen: 
    service rhnsd start
    oder 
    service osad start

6.2.3. Anzeigen von SCAP-Ergebnissen

Es gibt drei Methoden zum Anzeigen der Ergebnisse von abgeschlossenen Scans:
  • Per Weboberfläche. Sobald die Aktion ausgeführt wurde, sollten die Ergebnisse auf dem Prüfen-Reiter des Systems erscheinen. Diese Seite wird in Abschnitt 6.2.4, »OpenSCAP Satellite-Seiten« erläutert.
  • Per API-Funktionen in Handler system.scap.
  • Per spacewalk-reports-Tool des Satellites durch Ausführen der folgenden Befehle: 
        # /usr/bin/spacewalk-reports system-history-scap
    # /usr/bin/spacewalk-reports scap-scan
    # /usr/bin/spacewalk-reports scap-scan-results

6.2.4. OpenSCAP Satellite-Seiten

Die folgenden Abschnitte beschreiben die Reiter auf der RHN Satellite Weboberfläche, die OpenSCAP umfassen.

6.2.4.1. Prüfen

Der Prüfen-Reiter auf der oberen Navigationsleiste ist die umfassende Seite für die OpenSCAP-Funltionalität in RHN Satellite Server 5.5. Klicken Sie auf diesen Reiter, um abgeschlossene OpenSCAP-Scans anzusehen, zu durchsuchen und zu vergleichen.
PrüfenAlle Scans
Alle Scans ist die Standardseite, die beim Klick auf den Prüfen-Reiter angezeigt wird. Diese Seite zeigt alle abgeschlossenen OpenSCAP-Scans, die der Benutzer zu sehen berechtigt ist. Die Berechtigungen für die Scans werden aus den Systemberechtigungen abgeleitet.
Prüfen ⇒ Alle Scans

Abbildung 6.2. Prüfen ⇒ Alle Scans

Für jeden Scan werden die folgenden Informationen angezeigt:
System
Das Zielsystem des Scans
XCCDF-Profil
Das evaluierte Profil
Abgeschlossen
Zeit der Fertigstellung
Erfüllt
Die Anzahl der Regeln, die erfüllt bzw. erfolgreich waren. Eine Regel wird als erfüllt betrachtet, wenn das Ergebnis der Evaluierung entweder "Erfolgreich" oder "Behoben" ist.
Nicht erfüllt
Die Anzahl der Regeln, die nicht erfüllt wurden bzw. fehlgeschlagen sind. Eine Regel wird als nicht erfüllt betrachtet, wenn das Ergebnis der Evaluierung "Fehlgeschlagen" ist.
Unbekannt
Die Anzahl der Regeln, die nicht evaluiert werden konnten. Eine Regel wird als "unbekannt" betrachtet, wenn das Ergebnis der Evaluierung "Fehler", "Unbekannt" oder "Nicht geprüft" ist.
Die Evaluierung von XCCDF-Regeln kann auch Status wie Informationell, Nicht zutreffend oder Nicht ausgewählt zurückgeben. In diesen Fällen ist die jeweilige Regel in den Statistiken auf dieser Seite nicht enthalten. Siehe SystemdetailsPrüfen für Informationen über diese Regeln.
PrüfenXCCDF Diff
XCCDF Diff ist eine Applikation, die den Vergleich von zwei XCCDF-Scans grafisch veranschaulicht. Sie zeigt Metadaten für zwei Scans sowie die Liste der Ergebnisse.
Prüfen ⇒ XCCDF Diff

Abbildung 6.3. Prüfen ⇒ XCCDF Diff

Sie können auf das diff von ähnlichen Scans direkt zugreifen, indem Sie auf das Icon auf der Seite Scans auflisten klicken, oder Sie können ein diff von beliebigen Scans erstellen, indem Sie deren IDs angeben.
Objekte, die nur in einem der verglichenen Scans auftreten, werden als "unterschiedliche" Elemente betrachtet. Unterschiedliche Objekte sind in beige hervorgehoben. Es gibt drei Vergleichsmodi: Kompletter Abgleich, bei dem alle Scanobjekte gezeigt werden, Nur geänderte Objekte, bei dem nur die geänderten Objekte angezeigt werden, sowie Nur unveränderliche Objekte, bei dem unveränderte oder ähnliche Objekte gezeigt werden.
PrüfenErweiterte Suche
Die Suchseite ermöglicht Ihnen das Durchsuchen Ihrer Scans anhand bestimmter Kriterien, so z.B.:
  • Regelergebnisse
  • Zielrechner
  • Zeitspanne des Scans
Die Suche gibt entweder eine Liste mit Ergebnissen aus oder eine Liste mit Scans, die in den Ergebnissen enthalten sind.

6.2.4.2. SystemeSystemdetailsPrüfen

Dieser Reiter samt Unterreitern ermöglicht Ihnen das Einplanen und Anzeigen von Konformitätsscans für das System. Ein Scan wird vom SCAP-Tool durchgeführt, das den NIST-Standard SCAP (Security Content Automation Protocol) implementiert. Um das System zu scannen, vergewissern Sie sich, dass der SCAP-Inhalt vorbereitet ist und die Voraussetzungen in Abschnitt 6.2.1, »Voraussetzungen« erfüllt sind.
SystemeSystemdetailsPrüfenScans auflisten
Systeme ⇒ Systemdetails ⇒ Prüfen ⇒ Scans auflisten, Scan-Ergebnisse

Abbildung 6.5. Systeme ⇒ Systemdetails ⇒ Prüfen ⇒ Scans auflisten, Scan-Ergebnisse

Dieser Unterreiter zeigt eine Zusammenfassung aller abgeschlossenen Scans auf dem System. Folgende Spalten werden angezeigt:

Tabelle 6.1. OpenSCAP Scan-Labels

Spalten-Label Definition
XCCDF-Testergebnis Der Testergebnis-Name des Scans mit Link zu detaillierten Ergebnissen
Abgeschlossen Die genaue Zeit, an der der Scan abgeschlossen wurde
Konformität Ungewichtetes erfolgreich/fehlgeschlagen-Verhältnis der Konformität mit dem verwendeten Standard
P Anzahl der Prüfungen, die erfolgreich waren
F Anzahl der Prüfungen, die fehlgeschlagen sind
E Aufgetretene Fehler im Scan
U Unbekannt
N Nicht auf die Maschine zutreffend
K Nicht geprüft
S Nicht ausgewählt
I Informationell
X Behoben
Gesamt Gesamtanzahl der Prüfungen
Jede Zeile beginnt mit einem Icon, das das Ergebnis eines Vergleichs zu einem vorherigen ähnlichen Scan anzeigt. Das Icon zeigt an, dass der neuere Scan entweder:
  • "RHN Liste Geprüft" Icon — keinen Unterschied zum vorherigen Scan aufweist
  • "RHN Liste Warnung" Icon — einige Unterschiede aufweist
  • "RHN Liste Fehler" Icon — wesentliche Unterschiede aufweist, entweder sind mehr Prüfungen fehlgeschlagen oder weniger erfolgreich verlaufen als im vorherigen Scan
  • "RHN List Check In" Icon — kein vergleichbarer Scan wurde gefunden, somit wurde kein Vergleich angestellt.
SystemeSystemdetailsPrüfenScan-Details
Diese Seite enthält die Ergebnisse eines einzelnen Scans. Sie kann in zwei Teile unterteilt werden:
  • Details des XCCDF-Scans
    Die Details des Scans umfassen:
    • die allgemeinen Informationen des Dateipfads
    • welche Befehlszeilenparameter verwendet wurden
    • wer ihn eingeplant hat
    • die Benchmark-Kennzeichnung und -Version
    • die Profilkennzeichnung
    • den Profiltitel
    • wann er gestartet und abgeschlossen wurde
    • sowie etwaige Fehlerausgabe.
  • XCCDF-Regelergebnisse
    Das Regelergebnis zeigt die vollständige Liste mit XCCDF-Regelkennzeichnungen, Tags und das Ergebnis für jede dieser Regelergebnisse. Diese Liste kann nach einem bestimmten Ergebnis gefiltert werden.
SystemeSystemdetailsPrüfenPlan
Auf diesem Unterreiter können neue Scans eingeplant werden. Zusätzliche Befehlszeilenparameter können angegeben werden, sowie der Pfad zum XCCDF-Dokument auf dem System, das gescannt wird. Basierend auf dem "Nicht früher einplanen als" Parameter wird der Scan bei der nächsten Anmeldung des Systems beim Satellite-Server gescannt. Weitere Informationen über das Einplanen über die Satellite-Weboberfläche finden Sie in Prozedur 6.1, »Scans über die Weboberfläche« in diesem Kapitel.