Red Hat Training

A Red Hat training course is available for Red Hat Satellite

Chapitre 6. OpenSCAP

SCAP est une solution de vérification de conformité standardisée pour infrastructures Linux de niveau entreprise. Il s'agit d'une ligne de spécifications maintenue par le NIST (« National Institute of Standards and Technology ») pour la maintenance de la sécurité de systèmes pour des systèmes en entreprise.
Dans RHN Satellite Server 5.5, SCAP est implémenté par l'application OpenSCAP. OpenSCAP est un outil d'audit utilisant le format XCCDF (« Extensible Configuration Checklist Description Format »). XCCDF est une manière standardisée d'exprimer le contenu d'une liste et définit les listes des vérifications de sécurité. XCCDF peut aussi être combiné à d'autres spécifications, comme CPE, CCE et OVAL, pour créer une liste de vérifications SCAP pouvant être traitée par des produits validés SCAP.

6.1. Fonctionnalités SCAP

OpenSCAP vérifie la présence de correctifs en utilisant le contenu produit par l'équipe Red Hat SRT (« Security Response Team »), il vérifie aussi les paramètres de configuration de la sécurité du système et examine les systèmes en cherchant des signes de compromis en utilisant des règles basées sur des standards ou spécifications.
Pour utiliser OpenSCAP de manière effective, il y a deux prérequis à observer :
  • Un outil pour vérifier un système se conforme à un standard
    À partir de la version 5.5, le serveur Satellite RHN a intégré OpenSCAP en tant que fonctionnalité d'audit. Ceci vous permet de planifier et d'afficher des vérifications de conformité du système via l'interface web.
  • Contenu SCAP
    Le contenu SCAP peut être créé à partir de zéro si vous possédez une certaine compréhension de XCCDF ou OVAL. Alternativement, une autre option existe. Des contenus XCCDF sont fréquemment publiés en ligne sous des licences open source et ceux-ci peuvent être personnalisés afin de correspondre à vos besoins.

    Note

    Red Hat prend en charge l'utilisation de modèles pour évaluer vos systèmes. Cependant, la création de contenu personnalisé de ces modèles n'est pas prise en charge.
    Quelques exemples de ces groupes :
    • USGCB (« The United States Government Configuration Baseline ») pour RHEL5 Desktop — Contenu SCAP officiel pour les bureaux des agences fédérales ayant été développé au NIST en collaboration avec Red Hat, Inc. et le département de la défense des États-Unis (« United States Department of Defense », ou DoD) à l'aide d'OVAL.
    • Contenu fourni par la communauté
      • Guide de sécurité SCAP pour RHEL6 — Contenu actif effectué par la communauté originant des prérequis USGCB et de stratégies globalement acceptées, qui contient des profils pour bureaux, serveurs et serveurs ftp.
      • Contenu OpenSCAP pour RHEL6 — Le paquetage openscap-content du canal optionnel Red Hat Enterprise Linux 6 fournit aussi des conseils sur le contenu par défaut pour les systèmes Red Hat Enterprise Linux 6 via un modèle.
Comme SCAP a été conçu pour maintenir la sécurité d'un système, les standards utilisés changent continuellement afin de répondre aux besoins de la communauté et des entreprises. Les nouvelles spécifications sont gouvernées par le cycle des sorties SCAP du NIST afin de fournir un flux de révision consistant et renouvelable.