Red Hat Training
A Red Hat training course is available for Red Hat Satellite
6.2. OpenSCAP sur RHN Satellite
6.2.1. Spécifications
Paquetages requis
SCAP requiert ces paquetages :
- Pour le serveur : RHN Satellite 5.5
- Pour le client : paquetage spacewalk-oscap (disponible dans le canal enfant RHN Tools)
Droits d'accès requis
Un droit d'accès de gestion est requis pour la planification des vérifications.
Autres conditions
Pour le client : distribuer le contenu XCCDF aux machines clientes
La distribution du contenu XCCDF aux machines clientes peut être effectuée avec les méthodes suivantes :
- Méthodes traditionnelles (CD, USB, nfs, scp, ftp)
- Scripts Satellite
- RPMLes RPM personnalisés sont la manière recommandée de distribuer le contenu SCAP aux autres machines. Les paquetages RPM peuvent être signés et vérifiés pour assurer leur intégrité. L'installation, la suppression et la vérification des paquetages RPM peuvent être gérées à partir l'interface utilisateur.
6.2.2. Effectuer des vérifications d'audit
L'intégration OpenSCAP dans le serveur Satellite RHN offre la possibilité d'effectuer des vérifications d'audit sur des systèmes client. Cette section traite des deux méthodes disponibles.
Procédure 6.1. Vérifications via l'interface web
Pour effectuer une vérification avec l'interface web Satellite :
- Connectez-vous à l'interface web Satellite.
- Cliquez sur Systèmes → Système cible.
- Cliquez sur Audit → Planifier
- Remplissez le formulaire
Planifier une nouvelle vérification XCCDF
:- Arguments en ligne de commande : des arguments supplémentaires pour l'outil oscap peuvent être ajoutés à ce champ. Seuls deux arguments en ligne de commande sont autorisés :
--profile PROFILE
— Sélectionne un profil particulier à partir du document XCCDF. Les profils sont déterminés par le fichier XML XCCDF et peuvent être vérifiés à l'aide de la baliseProfile id
. Par exemple :Profile id="RHEL6-Default"
Note
Certaines versions d'OpenSCAP nécessitent l'argument en ligne de commande --profile, sinon la vérification échouera.--skip-valid
— Ne pas valider les fichiers d'entrées/sorties. Les utilisateurs ne possédant pas de contenu XCCDF bien formé peuvent choisir ceci afin d'ignorer le processus de validation du fichier.Si aucun argument en ligne de commande n'est passé, le profil par défaut sera utilisé. - Chemin vers le document XCCDF : ce champ est requis. Le paramètre
path
pointe vers l'emplacement du contenu sur le système client. Par exemple :/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml
Avertissement
Le contenu xccdf est validé avant d'être exécuté sur le système distant. Spécifier des arguments invalides peut faire échouer la validation ou l'exécution de spacewalk-oscap. Pour des raisons de sécurité, la commande « osccap xccdf eval » accepte uniquement un ensemble de paramètres limité.
- Exécutez
rhn_check
afin de vous assurer que l'action est reconnue par le système client.rhn_check -vv
Note
Alternativement, sirhnsd
ouosad
sont exécutés sur le système client, l'action sera reconnue par ces services. Pour vérifier s'ils sont exécutés, saisissez :service rhnsd start
ouservice osad start
Pour afficher les résultats de la vérification, veuillez vous reporter à la Section 6.2.3, « Comment afficher les résultats SCAP ».
Figure 6.1. Planifier une vérification via l'interface utilisateur web
Procédure 6.2. Vérifications via API
Pour effectuer une vérification d'audit via un API :
- Choisissez un script existant ou créez un script pour planifierune vérification de système avec
system.scap.scheduleXccdfScan
, l'API frontal.Exemple de script :#!/usr/bin/python client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')
Où :- 1000010001 est l'
ID système (sid)
. /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml
est le paramètre de chemin pointant vers l'emplacement du contenu ur le système client. Dans ce cas, il assume le contenu USGSB dans le répertoire/usr/local/share/scap
.--profile united_states_government_configuration_baseline
représente un argument supplémentaire pour l'outil oscap. Dans ce cas, USCFGB est utilisé.
- Exécutez le script sur l'interface de ligne de commande de n'importe quel système. Les bibliothèques python et xmlrpc correctes doivent être installées sur le système.
- Exécutez
rhn_check
afin de vous assurer que l'action est reconnue par le système client.rhn_check -vv
Note
Alternativement, sirhnsd
ouosad
sont exécutés sur le système client, l'action sera reconnue par ces services. Pour vérifier s'ils sont exécutés, saisissez :service rhnsd start
ouservice osad start
6.2.3. Comment afficher les résultats SCAP
Il y a trois méthodes d'affichage des résultats des vérifications terminées.
- Via l'interface web. Une fois que l'action a été exécutée, les résultats devraient s'afficher sur l'onglet Audit du système. Il est traité de cette page dans la Section 6.2.4, « Pages Satellite OpenSCAP ».
- Via les fonctions API dans le handler
system.scap
. - Via l'outil
spacewalk-reports
du Satellite en exécutant ces commandes :# /usr/bin/spacewalk-reports system-history-scap # /usr/bin/spacewalk-reports scap-scan # /usr/bin/spacewalk-reports scap-scan-results
6.2.4. Pages Satellite OpenSCAP
Les sections suivantes décrivent les onglets dans l'interface utilisateur web Satellite RHN qui englobent OpenSCAP.
6.2.4.1. Audit
L'onglet Audit en haut de la barre de navigation est la page englobant la fonctionnalité OpenSCAP dans le serveur Satellite RHN 5.5. Cliquer sur cet onglet vous permettra d'afficher, de rechercher et de comparer des vérifications OpenSCAP terminées.
- Audit → Toutes les vérifications
- Toutes les vérifications est la page s'affichant par défaut lorsque l'onglet Audit est sélectionné. Cette page affiche toutes les vérifications OpenSCAP terminées dont l'utilisateur possède la permission de voir. Les permissions des vérifications dérivent des permissions système.
Figure 6.2. Audit ⇒ Toutes les vérifications
Pour chaque vérification, les informations suivantes sont affichées :- Système
- le système ciblé par la vérification
- Le profil XCCDF
- le profil évalué
- Terminé
- heure de fin
- Satisfait
- nombre de règles satisfaites ou passées. Une règle est considérée comme satisfaite si le résultat de l'évaluation est « Réussi » ou « Corrigé ».
- Insatisfait
- nombre de règles insatisfaites ou en échec. Une règle est considérée comme insatisfaite si le résultat de l'évaluation est un « Échec ».
- Inconnu
- nombre de règles dont l'évaluation a échoué. Une règle est considérée comme inconnue si le résultat de l'évaluation est « Erreur », « Inconnu » ou « Non-vérifié ».
L'évaluation des règles XCCDF peut aussi retourner des status comme Caractère informatif, Non-applicable, ou Non-sélectionné. Dans de tels cas, la règle donnée n'est pas include dans les statistiques de cette page. Voir Détails du système → Audit pour obtenir davantage d'informations. - Audit → XCCDF Diff
- XCCDF Diff est une application qui visualise la comparaison de deux vérifications XCCDF. Les métadonnées des deux vérifications sont affichées, ainsi que la liste des résultats.
Figure 6.3. Audit ⇒ XCCDF Diff
Vous pouvez accéder auxdiff
de vérifications similaires en cliquant directement sur l'icône de la page Liste des vérifications ou vous pouvez effectuer undiff
de vérifications arbitraires en spécifiant leurs id.Les éléments n'apparaissant que dans une seule des vérifications comparées sont considérés comme « variables ». Les éléments variables sont toujours surlignés en beige. Il existe trois modes de comparaison possibles : Comparaison complète, qui affiche tous les éléments de la vérification, Éléments modifiés uniquement, qui affiche les éléments ayant changé et pour finir, Éléments invariables uniquement, qui affiche les éléments inchangés ou similaires. - Audit → Recherche avancée
- La page « Recherche » vous permet de rechercher dans vos scans (vérifications) selon des critères spécifiés, y compris :
- les résultats de règles
- la machine ciblée
- le laps de temps de la vérification (du scan)
Figure 6.4. Audit ⇒ Recherche avancée
La recherche retourne un liste de résultats ou une liste des scans (ou vérifications) qui sont inclus dans les résultats.
6.2.4.2. Systèmes → Détails du système → Audit
Cet onglet et ses sous-onglets vous permettent de planifier et d'afficher des vérifications de conformité du système. Un scan (ou vérification) est effectué(e) par l'outil SCAP, qui implémente le standard SCAP (« Security Content Automation Protocol ») du NIST. Pour scanner le système, assurez-vous que le contenu SCAP est préparé et que toutes les conditions requises dans la Section 6.2.1, « Spécifications » sont remplies.
- Systèmes → Détails du système → Audit → Liste des vérifications
Figure 6.5. Systèmes ⇒ Détails du système ⇒ Audit ⇒ Liste des vérifications Résultats des vérifications
Ce sous-onglet répertorie un sommaire de toutes les vérifications menées sur le système. Les colonnes sont comme suit :Tableau 6.1. Étiquettes des scans OpenSCAP
Étiquette de la colonne Définition Résultat du test XCCDF Nom du résultat du test vérifié qui fournit un lien vers les résultats détaillés de la vérification. Terminé L'heure exacte de fin de la vérification Conformité Ratio non pondéré de succès ou échec de conformité basé sur le standard utilisé P Nombre de vérifications réussies F Nombre de vérifications en échec E Erreurs rencontrées lors de la vérification U Inconnu N Inapplicable à la machine K Non-vérifié S Non-sélectionné I Caractère informatif X Corrigé Total Nombre total de vérifications Chaque ligne commence par une icône indiquant les résultats d'une comparaison avec une vérification précédente similaire. L'icône indique que la nouvelle vérification comporte soit :- — aucune différence par rapport à la vérification précédente
- — des différences arbitraires
- — des différences majeures, il y a soit plus d'échecs que la vérification précédente, soit moins de réussites
- — aucune vérification comparable n'a été trouvée, ainsi, aucune comparaison n'a été effectuée.
- Systèmes → Détails du système → Audit → Détails de la vérification
- Cette page contient les résultats d'une seule vérification. Elle peut être divisée en deux parties :
- Détails de la vérification XCCDFLes détails de la vérification vous offrent :
- des informations générales sur le chemin du fichier
- les arguments en ligne de commande utilisés
- qui l'a planifiée
- l'identificateur et la version de référence
- l'identifiant du profil
- le titre du profil
- les heures de début et de fin
- toute sortie erronnée.
- Résultats de la règle XCCDFLes résultats de la règle fournissent une liste complète des identifiants de règles XCCDF, identifiant ainsi les balises et le résultat de chacun de ces résultats de règles. Cette liste peut être filtrée selon un résultat en particulier.
- Systèmes → Détails du système → Audit → Planifier
- Ce sous-onglet est l'endroit où les nouvelles vérifications peuvent être planifiées. Des arguments de ligne de commande supplémentaires peuvent être fournis, ainsi que le chemin vers le document XCCDF sur le système vérifié. Basée sur le paramètre «
Ne pas planifier avant
», la vérification sera effectuée lors de la prochaine connexion planifiée du système avec le serveur Satellite. Pour obtenir des informations supplémentaires sur la planification via l'interface web Satellite, reportez-vous à la Procédure 6.1, « Vérifications via l'interface web » de ce chapitre.