Red Hat Training

A Red Hat training course is available for Red Hat Satellite

6.2. OpenSCAP sur RHN Satellite

6.2.1. Spécifications

Paquetages requis

SCAP requiert ces paquetages :

  • Pour le serveur : RHN Satellite 5.5
  • Pour le client : paquetage spacewalk-oscap (disponible dans le canal enfant RHN Tools)
Droits d'accès requis

Un droit d'accès de gestion est requis pour la planification des vérifications.

Autres conditions

Pour le client : distribuer le contenu XCCDF aux machines clientes

La distribution du contenu XCCDF aux machines clientes peut être effectuée avec les méthodes suivantes :
  • Méthodes traditionnelles (CD, USB, nfs, scp, ftp)
  • Scripts Satellite
  • RPM
    Les RPM personnalisés sont la manière recommandée de distribuer le contenu SCAP aux autres machines. Les paquetages RPM peuvent être signés et vérifiés pour assurer leur intégrité. L'installation, la suppression et la vérification des paquetages RPM peuvent être gérées à partir l'interface utilisateur.

6.2.2. Effectuer des vérifications d'audit

L'intégration OpenSCAP dans le serveur Satellite RHN offre la possibilité d'effectuer des vérifications d'audit sur des systèmes client. Cette section traite des deux méthodes disponibles.

Procédure 6.1. Vérifications via l'interface web

Pour effectuer une vérification avec l'interface web Satellite :
  1. Connectez-vous à l'interface web Satellite.
  2. Cliquez sur SystèmesSystème cible.
  3. Cliquez sur AuditPlanifier
  4. Remplissez le formulaire Planifier une nouvelle vérification XCCDF :
    • Arguments en ligne de commande : des arguments supplémentaires pour l'outil oscap peuvent être ajoutés à ce champ. Seuls deux arguments en ligne de commande sont autorisés :
      --profile PROFILE — Sélectionne un profil particulier à partir du document XCCDF. Les profils sont déterminés par le fichier XML XCCDF et peuvent être vérifiés à l'aide de la balise Profile id. Par exemple : 
      Profile id="RHEL6-Default"

      Note

      Certaines versions d'OpenSCAP nécessitent l'argument en ligne de commande --profile, sinon la vérification échouera.
      --skip-valid — Ne pas valider les fichiers d'entrées/sorties. Les utilisateurs ne possédant pas de contenu XCCDF bien formé peuvent choisir ceci afin d'ignorer le processus de validation du fichier.
      Si aucun argument en ligne de commande n'est passé, le profil par défaut sera utilisé.
    • Chemin vers le document XCCDF : ce champ est requis. Le paramètre path pointe vers l'emplacement du contenu sur le système client. Par exemple : /usr/local/scap/dist_rhel6_scap-rhel6-oval.xml

      Avertissement

      Le contenu xccdf est validé avant d'être exécuté sur le système distant. Spécifier des arguments invalides peut faire échouer la validation ou l'exécution de spacewalk-oscap. Pour des raisons de sécurité, la commande « osccap xccdf eval » accepte uniquement un ensemble de paramètres limité.
  5. Exécutez rhn_check afin de vous assurer que l'action est reconnue par le système client. 
    rhn_check -vv

    Note

    Alternativement, si rhnsd ou osad sont exécutés sur le système client, l'action sera reconnue par ces services. Pour vérifier s'ils sont exécutés, saisissez : 
    service rhnsd start
    ou 
    service osad start
Pour afficher les résultats de la vérification, veuillez vous reporter à la Section 6.2.3, « Comment afficher les résultats SCAP ».
Planifier une vérification via l'interface utilisateur web

Figure 6.1. Planifier une vérification via l'interface utilisateur web

Procédure 6.2. Vérifications via API

Pour effectuer une vérification d'audit via un API :
  1. Choisissez un script existant ou créez un script pour planifierune vérification de système avec system.scap.scheduleXccdfScan, l'API frontal.
    Exemple de script : 
    #!/usr/bin/python
client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
key = client.auth.login('username', 'password')
client.system.scap.scheduleXccdfScan(key, 1000010001,
    '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
    '--profile united_states_government_configuration_baseline')
    Où :
    • 1000010001 est l'ID système (sid).
    • /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml est le paramètre de chemin pointant vers l'emplacement du contenu ur le système client. Dans ce cas, il assume le contenu USGSB dans le répertoire /usr/local/share/scap.
    • --profile united_states_government_configuration_baseline représente un argument supplémentaire pour l'outil oscap. Dans ce cas, USCFGB est utilisé.
  2. Exécutez le script sur l'interface de ligne de commande de n'importe quel système. Les bibliothèques python et xmlrpc correctes doivent être installées sur le système.
  3. Exécutez rhn_check afin de vous assurer que l'action est reconnue par le système client. 
    rhn_check -vv

    Note

    Alternativement, si rhnsd ou osad sont exécutés sur le système client, l'action sera reconnue par ces services. Pour vérifier s'ils sont exécutés, saisissez : 
    service rhnsd start
    ou 
    service osad start

6.2.3. Comment afficher les résultats SCAP

Il y a trois méthodes d'affichage des résultats des vérifications terminées.
  • Via l'interface web. Une fois que l'action a été exécutée, les résultats devraient s'afficher sur l'onglet Audit du système. Il est traité de cette page dans la Section 6.2.4, « Pages Satellite OpenSCAP ».
  • Via les fonctions API dans le handler system.scap.
  • Via l'outil spacewalk-reports du Satellite en exécutant ces commandes : 
        # /usr/bin/spacewalk-reports system-history-scap
    # /usr/bin/spacewalk-reports scap-scan
    # /usr/bin/spacewalk-reports scap-scan-results

6.2.4. Pages Satellite OpenSCAP

Les sections suivantes décrivent les onglets dans l'interface utilisateur web Satellite RHN qui englobent OpenSCAP.

6.2.4.1. Audit

L'onglet Audit en haut de la barre de navigation est la page englobant la fonctionnalité OpenSCAP dans le serveur Satellite RHN 5.5. Cliquer sur cet onglet vous permettra d'afficher, de rechercher et de comparer des vérifications OpenSCAP terminées.
AuditToutes les vérifications
Toutes les vérifications est la page s'affichant par défaut lorsque l'onglet Audit est sélectionné. Cette page affiche toutes les vérifications OpenSCAP terminées dont l'utilisateur possède la permission de voir. Les permissions des vérifications dérivent des permissions système.
Audit ⇒ Toutes les vérifications

Figure 6.2. Audit ⇒ Toutes les vérifications

Pour chaque vérification, les informations suivantes sont affichées :
Système
le système ciblé par la vérification
Le profil XCCDF
le profil évalué
Terminé
heure de fin
Satisfait
nombre de règles satisfaites ou passées. Une règle est considérée comme satisfaite si le résultat de l'évaluation est « Réussi » ou « Corrigé ».
Insatisfait
nombre de règles insatisfaites ou en échec. Une règle est considérée comme insatisfaite si le résultat de l'évaluation est un « Échec ».
Inconnu
nombre de règles dont l'évaluation a échoué. Une règle est considérée comme inconnue si le résultat de l'évaluation est « Erreur », « Inconnu » ou « Non-vérifié ».
L'évaluation des règles XCCDF peut aussi retourner des status comme Caractère informatif, Non-applicable, ou Non-sélectionné. Dans de tels cas, la règle donnée n'est pas include dans les statistiques de cette page. Voir Détails du systèmeAudit pour obtenir davantage d'informations.
AuditXCCDF Diff
XCCDF Diff est une application qui visualise la comparaison de deux vérifications XCCDF. Les métadonnées des deux vérifications sont affichées, ainsi que la liste des résultats.
Audit ⇒ XCCDF Diff

Figure 6.3. Audit ⇒ XCCDF Diff

Vous pouvez accéder aux diff de vérifications similaires en cliquant directement sur l'icône de la page Liste des vérifications ou vous pouvez effectuer un diff de vérifications arbitraires en spécifiant leurs id.
Les éléments n'apparaissant que dans une seule des vérifications comparées sont considérés comme « variables ». Les éléments variables sont toujours surlignés en beige. Il existe trois modes de comparaison possibles : Comparaison complète, qui affiche tous les éléments de la vérification, Éléments modifiés uniquement, qui affiche les éléments ayant changé et pour finir, Éléments invariables uniquement, qui affiche les éléments inchangés ou similaires.
AuditRecherche avancée
La page « Recherche » vous permet de rechercher dans vos scans (vérifications) selon des critères spécifiés, y compris :
  • les résultats de règles
  • la machine ciblée
  • le laps de temps de la vérification (du scan)
La recherche retourne un liste de résultats ou une liste des scans (ou vérifications) qui sont inclus dans les résultats.

6.2.4.2. SystèmesDétails du systèmeAudit

Cet onglet et ses sous-onglets vous permettent de planifier et d'afficher des vérifications de conformité du système. Un scan (ou vérification) est effectué(e) par l'outil SCAP, qui implémente le standard SCAP (« Security Content Automation Protocol ») du NIST. Pour scanner le système, assurez-vous que le contenu SCAP est préparé et que toutes les conditions requises dans la Section 6.2.1, « Spécifications » sont remplies.
SystèmesDétails du systèmeAuditListe des vérifications
Systèmes ⇒ Détails du système ⇒ Audit ⇒ Liste des vérifications Résultats des vérifications

Figure 6.5. Systèmes ⇒ Détails du système ⇒ Audit ⇒ Liste des vérifications Résultats des vérifications

Ce sous-onglet répertorie un sommaire de toutes les vérifications menées sur le système. Les colonnes sont comme suit :

Tableau 6.1. Étiquettes des scans OpenSCAP

Étiquette de la colonne Définition
Résultat du test XCCDF Nom du résultat du test vérifié qui fournit un lien vers les résultats détaillés de la vérification.
Terminé L'heure exacte de fin de la vérification
Conformité Ratio non pondéré de succès ou échec de conformité basé sur le standard utilisé
P Nombre de vérifications réussies
F Nombre de vérifications en échec
E Erreurs rencontrées lors de la vérification
U Inconnu
N Inapplicable à la machine
K Non-vérifié
S Non-sélectionné
I Caractère informatif
X Corrigé
Total Nombre total de vérifications
Chaque ligne commence par une icône indiquant les résultats d'une comparaison avec une vérification précédente similaire. L'icône indique que la nouvelle vérification comporte soit :
  • Icône « Liste RHN vérifiée » — aucune différence par rapport à la vérification précédente
  • Icône « Alerte liste RHN » — des différences arbitraires
  • Icône « Erreur de liste RHN » — des différences majeures, il y a soit plus d'échecs que la vérification précédente, soit moins de réussites
  • Icône « Première vérification de liste RHN » — aucune vérification comparable n'a été trouvée, ainsi, aucune comparaison n'a été effectuée.
SystèmesDétails du systèmeAuditDétails de la vérification
Cette page contient les résultats d'une seule vérification. Elle peut être divisée en deux parties :
  • Détails de la vérification XCCDF
    Les détails de la vérification vous offrent :
    • des informations générales sur le chemin du fichier
    • les arguments en ligne de commande utilisés
    • qui l'a planifiée
    • l'identificateur et la version de référence
    • l'identifiant du profil
    • le titre du profil
    • les heures de début et de fin
    • toute sortie erronnée.
  • Résultats de la règle XCCDF
    Les résultats de la règle fournissent une liste complète des identifiants de règles XCCDF, identifiant ainsi les balises et le résultat de chacun de ces résultats de règles. Cette liste peut être filtrée selon un résultat en particulier.
SystèmesDétails du systèmeAuditPlanifier
Ce sous-onglet est l'endroit où les nouvelles vérifications peuvent être planifiées. Des arguments de ligne de commande supplémentaires peuvent être fournis, ainsi que le chemin vers le document XCCDF sur le système vérifié. Basée sur le paramètre « Ne pas planifier avant », la vérification sera effectuée lors de la prochaine connexion planifiée du système avec le serveur Satellite. Pour obtenir des informations supplémentaires sur la planification via l'interface web Satellite, reportez-vous à la Procédure 6.1, « Vérifications via l'interface web » de ce chapitre.