Red Hat Training

A Red Hat training course is available for Red Hat Satellite

6.2. OpenSCAP con RHN Satellite

6.2.1. Prerequisiti

Requisiti del pacchetto

SCAP ha bisogno dei seguenti pacchetti:

  • Per il Server: RHN Satellite 5.5
  • Per il client: pacchetto spacewalk-oscap (disponibile dal Canale figlio di RHN Tools)
Requisiti dell'entitlement

Un entitlement di gestione è necessario per programmare le scansioni.

Altri requisiti

Per il client: Distribuzione del contenuto XCCDF alle macchine client

La distribuzione del contenuto XCCDF alle macchine client può essere effettuata attraverso i seguenti metodi:
  • Metodi tradizionali (CD, USB, nfs, scp, ftp)
  • Script di Satellite
  • RPM
    Gli RPM personalizzati rappresentano il metodo consigliato per distribuire il contenuto SCAP ad altre macchine. I pacchetti RPM possono essere firmati e verificati per assicurare la loro integrità. L'installazione, la rimozione e verifica dei pacchetti RPM possono essere gestiti tramite l'interfaccia utente.

6.2.2. Esecuzione delle scansioni di verifica

L'integrazione di OpenSCAP con RHN Satellite Server rende possibile l'esecuzione delle scansioni di verifica sui sistemi client. Questa sezione riporta i due metodi disponibili.

Procedura 6.1. Scansioni tramite l'interfaccia web

Per eseguire una scansione attraverso l'interfaccia web di satellite:
  1. Eseguire il log in nella interfaccia web di satellite.
  2. Selezionare SistemiSistema di destinazione.
  3. Selezionare VerificaProgrammazione
  4. Completare Programma una nuova scansione XCCDF:
    • Argomenti della linea di comando: Argomenti aggiuntivi per lo strumento oscap possono essere aggiunti in questo campo. Sono permessi solo due argomenti della linea di comando. Essi sono:
      --profile PROFILE — Seleziona un profilo particolare dal documento XCCDF. I profili vengono determinati dal file xml XCCDF e possono essere controllati usando il tag Profile id. Per esempio:
      Profile id="RHEL6-Default"
      

      Nota

      Alcune versioni di OpenSCAP hanno bisogno dell'argomento --profile, in caso contrario la scansione fallirà.
      --skip-valid — Non convalidare i file input/output. Gli utenti con un contenuto XCCDF incorretto possono usare questa opzione per baipassare il processo di convalida del file.
      Se non viene passato alcun argomento della linea di comando verrà utilizzato il profilo predefinito.
    • Percorso per il documento XCCDF: Campo obbligatorio. Il parametro path indica la posizione del contenuto sul sistema client. Per esempio: /usr/local/scap/dist_rhel6_scap-rhel6-oval.xml

      Avvertimento

      Il contenuto viene convalidato prima della sua esecuzione sul sistema remoto. Se utilizzate argomenti non validi, spacewalk-oscap non sarà in grado di eseguire la convalida o non potrà essere eseguito. Per motivi di sicurezza il comando 'osccap xccdf eval' accetta solo un insieme di parametri limitato.
  5. Eseguire rhn_check per assicurarsi che l'azione sia stata intrapresa del sistema client.
    rhn_check -vv
    

    Nota

    Alternativamente se rhnsd o osad sono in esecuzione sul sistema client, l'azione verrà intrapresa da questi servizi. Per controllare la loro esecuzione:
    service rhnsd start
    
    o
    service osad start
    
Per visualizzare i risultati della scansione consultare Sezione 6.2.3, «Come visualizzare i risultati di SCAP».
Programmazione di una scansione tramite l'Interfaccia utente Web

Figura 6.1. Programmazione di una scansione tramite l'Interfaccia utente Web

Procedura 6.2. Scansioni tramite API

Per eseguire una scansione di verifica tramite API:
  1. Selezionare uno script esistente o crearne uno per la programmazione di una scansione attraverso system.scap.scheduleXccdfScan, un API front end.
    Esempio di Script:
    #!/usr/bin/python
    client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
    key = client.auth.login('username', 'password')
    client.system.scap.scheduleXccdfScan(key, 1000010001,
        '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
        '--profile united_states_government_configuration_baseline')
    
    Dove:
    • 1000010001 è il system ID (sid).
    • /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml è il parametro del percorso che indica alla posizione del contenuto sul sistema client. In questo caso assume che il contenuto USGSB sia disponibile nella directory /usr/local/share/scap.
    • --profile united_states_government_configuration_baseline rappresenta l'argomento aggiuntivo per lo strumento oscap. In questo caso viene usato USCFGB.
  2. Eseguire lo scirpt sull'interfaccia della linea di comando su qualsiasi sistema. Il sistema avrà bisogno delle librerie python e xmlrpc appropriate.
  3. Eseguire rhn_check per assicurarsi che l'azione sia stata intrapresa del sistema client.
    rhn_check -vv
    

    Nota

    Alternativamente se rhnsd o osad sono in esecuzione sul sistema client, l'azione verrà intrapresa da questi servizi. Per controllare la loro esecuzione:
    service rhnsd start
    
    o
    service osad start
    

6.2.3. Come visualizzare i risultati di SCAP

Per visualizzare i risultati delle scansioni sono disponibili tre metodi:
  • Tramite interfaccia web. Dopo aver eseguito l'azione i risultati dovrebbero essere visualizzati sulla scheda Verifica del sistema. Questa pagina viene affrontata in Sezione 6.2.4, «Pagine satellite OpenSCAP».
  • Tramite le funzioni API in system.scap.
  • Tramite lo strumento spacewalk-reports di satellite eseguendo i seguenti comandi:
        # /usr/bin/spacewalk-reports system-history-scap
        # /usr/bin/spacewalk-reports scap-scan
        # /usr/bin/spacewalk-reports scap-scan-results
    

6.2.4. Pagine satellite OpenSCAP

Le seguenti sezioni descrivono le schede nell'interfaccia utente web di RHN Satellite che contengono le informazioni su OpenSCAP.

6.2.4.1. Verifica

La scheda Verifica nella barra di navigazione superiore riporta informazioni complete sulla funzionalità OpenSCAP con RHN Satellite Server 5.5. Selezionando questa scheda sarà possibile visualizzare e confrontare le scansioni OpenSCAP complete, e le ricerche.
VerificaTutte le verifiche
La pagina Tutte le scansioni è la pagina predefinita visualizzata se selezionate la scheda Verifica. Questa pagina mostra tutte le scansioni completate di OpenSCAP visualizzabili dall'utente. I permessi per le scansioni derivano dai permessi del sistema.
Verifica ⇒ Tutte le scansioni

Figura 6.2. Verifica ⇒ Tutte le scansioni

Per ogni scansione vengono visualizzate le seguenti informazioni:
Sistema
il sistema relativo alla scansione
Profilo XCCDF
il profilo valutato
Completato
tempo necessario per il completamento
Soddisfatte
numero di regole soddisfatte/approvate. Una regola viene considerata soddisfatta se il risultato della valutazione è Approvato o Corretto.
Non soddisfatte
numero di regole non soddisfatte/fallite. Una regole viene considerata non soddisfatta se il risultato della valutazione è Fallito.
Sconosciute
numero di regole non valutate. Una regola viene considerata sconosciuta se il risultato della valutazione è Errore, Sconosciuto o Non controllato.
La valutazione delle regole XCCDF può ritornare stati simili a Informativo, Non applicabile, o Non selezionato. In questi casi la regola non viene inclusa nelle statistiche presenti sulla pagina. Consultare Dettagli del sistemaVerifica per informazioni relative.
AuditXCCDF Diff
XCCDF Diff è una applicazione che visualizza il confronto di due scansioni XCCDF. Essa mostra i metadati per due scansioni insieme agli elenchi dei risultati.
Verifica ⇒ XCCDF Diff

Figura 6.3. Verifica ⇒ XCCDF Diff

È possibile eseguire diff di scansioni simili direttamente selezionando l'icona sulla pagina Elenca scansioni, oppure è possibile eseguire il diff nei confronti di scansioni arbitrarie specificandone il rispettivo id.
Gli oggetti presenti solo in una delle scansioni confrontate vengono considerati "varianti". Gli oggetti denominati varianti vengono sempre evidenziati in beige. Sono disponibili tre modalità: Confronto completo il quale mostra tutti gli oggetti della scansione, Solo oggetti modificati il quale mostra solo gli oggetti modificati e Solo oggetti invariati il quale mostra oggetti non modificati o oggetti simili.
AuditRicerca avanzata
La pagina Cerca permette di eseguire una ricerca attraverso le scansioni in base ai criteri specificati:
  • risultati regola
  • macchina di destinazione
  • periodo di tempo per la scansione
La ricerca ritorna un elenco di risultati o un elenco di scansioni inclusi nei risultati.

6.2.4.2. SistemiDettagli del sistemaAudit

Questa scheda, o le sottoschede relative, permette di programmare e visualizzare le scansioni conformi per il sistema. La scansione viene eseguita dallo strumento SCAP il quale implementa uno SCAP standard di NIST (Security Content Automation Protocol). Per eseguire una scansione del sistema assicuratevi che il contenuto di SCAP sia pronto e tutti i requisiti in Sezione 6.2.1, «Prerequisiti» soddisfatti.
SistemiDettagli del sistemaAuditElenca scansioni
Sistemi ⇒ Dettagli del sistema ⇒ Verifica ⇒ Elenca scansioni Risultati scansione

Figura 6.5. Sistemi ⇒ Dettagli del sistema ⇒ Verifica ⇒ Elenca scansioni Risultati scansione

Questa sottoscheda riporta un sommario di tutte le scansioni completate sul sistema. Di seguito vengono riportate le colonne interessate:

Tabella 6.1. Etichette scansione OpenSCAP

Etichetta colonna Definizione
Risultato test XCCDF Il nome del risultato del test il quale fornisce un link per i risultati dettagliati della scansione.
Completato L'ora esatta alla quale è terminata la scansione.
Conforme Il rapporto non ponderato corretto/fallito di conformità in base allo standard usato
P Numero di controlli con stato Corretto
F Numero di controlli con stato Fallito
E Errori presenti nella scansione
U Sconosciute
N Non applicabile alla macchina
K Non controllato
S Non selezionato
I Informativo
X Corretto
Totale Numero totale di controlli
Ogni riga inizia con una icona la quale indica i risultati di un confronto con una scansione simile precedente. Le icone indicano che la nuova scansione può essere:
  • Icona "Elenco RHN controllati" — nessuna differenza rispetto alla scansione precedente
  • Icona "Elenco Avvisi RHN" — differenze arbitrarie
  • Icona "Elenco Errori RHN" — differenze importanti, può essere presente un numero maggiore di differenze rispetto alla scansione precedente o un numero minore con uno stato idoneo
  • Icona "Elenco RHN Check In" — nessuna scansione confrontabile trovata, per questo motivo non è stato eseguito alcun confronto.
SistemiDettagli del sistemaAuditDettagli della scansione
Questa pagina contiene i risultati di una scansione singola. Essa può essere suddivisa in due parti:
  • Dettagli della scansione XCCDF
    I dettagli della scansione rendono disponibili:
    • le informazioni generali del percorso del file
    • gli argomenti della linea di comando usati
    • chi l'ha programmata
    • l'identificatore di riferimento e la versione
    • l'identificatore del profilo
    • il titolo del profilo
    • l'inizio ed il completamento
    • qualsiasi output d'errore.
  • Risultati della regola XCCDF
    I risultati della regola forniscono un elenco completo di identificatori della regola XCCDF, i tag di identificazione ed il risultato per ogni regola. Questo elenco può essere filtrato in base ad un risultato specifico.
SistemiDettagli del sistemaAuditProgrammazione
In questa sottoscheda è possibile programmare nuove scansioni, ed è possibile altresì fornire argomenti aggiuntivi della linea di comando insieme al percorso per il documento XCCDF sul sistema sul quale è stata eseguita la scansione. In base al parametro "Programma non prima di", la scansione verrà eseguita al check-in successivo previsto con il server di satellite. Per maggiori informazioni su come eseguire una programmazione tramite interfaccia web di satellite consultare Procedura 6.1, «Scansioni tramite l'interfaccia web» in questo capitolo.