Red Hat Training
A Red Hat training course is available for Red Hat Satellite
6.2. OpenSCAP con RHN Satellite
6.2.1. Prerequisiti
Requisiti del pacchetto
SCAP ha bisogno dei seguenti pacchetti:
- Per il Server: RHN Satellite 5.5
- Per il client: pacchetto spacewalk-oscap (disponibile dal Canale figlio di RHN Tools)
Requisiti dell'entitlement
Un entitlement di gestione è necessario per programmare le scansioni.
Altri requisiti
Per il client: Distribuzione del contenuto XCCDF alle macchine client
La distribuzione del contenuto XCCDF alle macchine client può essere effettuata attraverso i seguenti metodi:
- Metodi tradizionali (CD, USB, nfs, scp, ftp)
- Script di Satellite
- RPMGli RPM personalizzati rappresentano il metodo consigliato per distribuire il contenuto SCAP ad altre macchine. I pacchetti RPM possono essere firmati e verificati per assicurare la loro integrità. L'installazione, la rimozione e verifica dei pacchetti RPM possono essere gestiti tramite l'interfaccia utente.
6.2.2. Esecuzione delle scansioni di verifica
L'integrazione di OpenSCAP con RHN Satellite Server rende possibile l'esecuzione delle scansioni di verifica sui sistemi client. Questa sezione riporta i due metodi disponibili.
Procedura 6.1. Scansioni tramite l'interfaccia web
Per eseguire una scansione attraverso l'interfaccia web di satellite:
- Eseguire il log in nella interfaccia web di satellite.
- Selezionare Sistemi → Sistema di destinazione.
- Selezionare Verifica → Programmazione
- Completare
Programma una nuova scansione XCCDF
:- Argomenti della linea di comando: Argomenti aggiuntivi per lo strumento oscap possono essere aggiunti in questo campo. Sono permessi solo due argomenti della linea di comando. Essi sono:
--profile PROFILE
— Seleziona un profilo particolare dal documento XCCDF. I profili vengono determinati dal file xml XCCDF e possono essere controllati usando il tagProfile id
. Per esempio:Profile id="RHEL6-Default"
Nota
Alcune versioni di OpenSCAP hanno bisogno dell'argomento --profile, in caso contrario la scansione fallirà.--skip-valid
— Non convalidare i file input/output. Gli utenti con un contenuto XCCDF incorretto possono usare questa opzione per baipassare il processo di convalida del file.Se non viene passato alcun argomento della linea di comando verrà utilizzato il profilo predefinito. - Percorso per il documento XCCDF: Campo obbligatorio. Il parametro
path
indica la posizione del contenuto sul sistema client. Per esempio:/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml
Avvertimento
Il contenuto viene convalidato prima della sua esecuzione sul sistema remoto. Se utilizzate argomenti non validi, spacewalk-oscap non sarà in grado di eseguire la convalida o non potrà essere eseguito. Per motivi di sicurezza il comando 'osccap xccdf eval' accetta solo un insieme di parametri limitato.
- Eseguire
rhn_check
per assicurarsi che l'azione sia stata intrapresa del sistema client.rhn_check -vv
Nota
Alternativamente serhnsd
oosad
sono in esecuzione sul sistema client, l'azione verrà intrapresa da questi servizi. Per controllare la loro esecuzione:service rhnsd start
oservice osad start
Per visualizzare i risultati della scansione consultare Sezione 6.2.3, «Come visualizzare i risultati di SCAP».
Figura 6.1. Programmazione di una scansione tramite l'Interfaccia utente Web
Procedura 6.2. Scansioni tramite API
Per eseguire una scansione di verifica tramite API:
- Selezionare uno script esistente o crearne uno per la programmazione di una scansione attraverso
system.scap.scheduleXccdfScan
, un API front end.Esempio di Script:#!/usr/bin/python client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')
Dove:- 1000010001 è il
system ID (sid)
. /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml
è il parametro del percorso che indica alla posizione del contenuto sul sistema client. In questo caso assume che il contenuto USGSB sia disponibile nella directory/usr/local/share/scap
.--profile united_states_government_configuration_baseline
rappresenta l'argomento aggiuntivo per lo strumento oscap. In questo caso viene usato USCFGB.
- Eseguire lo scirpt sull'interfaccia della linea di comando su qualsiasi sistema. Il sistema avrà bisogno delle librerie python e xmlrpc appropriate.
- Eseguire
rhn_check
per assicurarsi che l'azione sia stata intrapresa del sistema client.rhn_check -vv
Nota
Alternativamente serhnsd
oosad
sono in esecuzione sul sistema client, l'azione verrà intrapresa da questi servizi. Per controllare la loro esecuzione:service rhnsd start
oservice osad start
6.2.3. Come visualizzare i risultati di SCAP
Per visualizzare i risultati delle scansioni sono disponibili tre metodi:
- Tramite interfaccia web. Dopo aver eseguito l'azione i risultati dovrebbero essere visualizzati sulla scheda Verifica del sistema. Questa pagina viene affrontata in Sezione 6.2.4, «Pagine satellite OpenSCAP».
- Tramite le funzioni API in
system.scap
. - Tramite lo strumento
spacewalk-reports
di satellite eseguendo i seguenti comandi:# /usr/bin/spacewalk-reports system-history-scap # /usr/bin/spacewalk-reports scap-scan # /usr/bin/spacewalk-reports scap-scan-results
6.2.4. Pagine satellite OpenSCAP
Le seguenti sezioni descrivono le schede nell'interfaccia utente web di RHN Satellite che contengono le informazioni su OpenSCAP.
6.2.4.1. Verifica
La scheda Verifica nella barra di navigazione superiore riporta informazioni complete sulla funzionalità OpenSCAP con RHN Satellite Server 5.5. Selezionando questa scheda sarà possibile visualizzare e confrontare le scansioni OpenSCAP complete, e le ricerche.
- Verifica → Tutte le verifiche
- La pagina Tutte le scansioni è la pagina predefinita visualizzata se selezionate la scheda Verifica. Questa pagina mostra tutte le scansioni completate di OpenSCAP visualizzabili dall'utente. I permessi per le scansioni derivano dai permessi del sistema.
Figura 6.2. Verifica ⇒ Tutte le scansioni
Per ogni scansione vengono visualizzate le seguenti informazioni:- Sistema
- il sistema relativo alla scansione
- Profilo XCCDF
- il profilo valutato
- Completato
- tempo necessario per il completamento
- Soddisfatte
- numero di regole soddisfatte/approvate. Una regola viene considerata soddisfatta se il risultato della valutazione è Approvato o Corretto.
- Non soddisfatte
- numero di regole non soddisfatte/fallite. Una regole viene considerata non soddisfatta se il risultato della valutazione è Fallito.
- Sconosciute
- numero di regole non valutate. Una regola viene considerata sconosciuta se il risultato della valutazione è Errore, Sconosciuto o Non controllato.
La valutazione delle regole XCCDF può ritornare stati simili a Informativo, Non applicabile, o Non selezionato. In questi casi la regola non viene inclusa nelle statistiche presenti sulla pagina. Consultare Dettagli del sistema → Verifica per informazioni relative. - Audit → XCCDF Diff
- XCCDF Diff è una applicazione che visualizza il confronto di due scansioni XCCDF. Essa mostra i metadati per due scansioni insieme agli elenchi dei risultati.
Figura 6.3. Verifica ⇒ XCCDF Diff
È possibile eseguirediff
di scansioni simili direttamente selezionando l'icona sulla pagina Elenca scansioni, oppure è possibile eseguire ildiff
nei confronti di scansioni arbitrarie specificandone il rispettivo id.Gli oggetti presenti solo in una delle scansioni confrontate vengono considerati "varianti". Gli oggetti denominati varianti vengono sempre evidenziati in beige. Sono disponibili tre modalità: Confronto completo il quale mostra tutti gli oggetti della scansione, Solo oggetti modificati il quale mostra solo gli oggetti modificati e Solo oggetti invariati il quale mostra oggetti non modificati o oggetti simili. - Audit → Ricerca avanzata
- La pagina Cerca permette di eseguire una ricerca attraverso le scansioni in base ai criteri specificati:
- risultati regola
- macchina di destinazione
- periodo di tempo per la scansione
Figura 6.4. Verifica ⇒ Ricerca avanzata
La ricerca ritorna un elenco di risultati o un elenco di scansioni inclusi nei risultati.
6.2.4.2. Sistemi → Dettagli del sistema → Audit
Questa scheda, o le sottoschede relative, permette di programmare e visualizzare le scansioni conformi per il sistema. La scansione viene eseguita dallo strumento SCAP il quale implementa uno SCAP standard di NIST (Security Content Automation Protocol). Per eseguire una scansione del sistema assicuratevi che il contenuto di SCAP sia pronto e tutti i requisiti in Sezione 6.2.1, «Prerequisiti» soddisfatti.
- Sistemi → Dettagli del sistema → Audit → Elenca scansioni
Figura 6.5. Sistemi ⇒ Dettagli del sistema ⇒ Verifica ⇒ Elenca scansioni Risultati scansione
Questa sottoscheda riporta un sommario di tutte le scansioni completate sul sistema. Di seguito vengono riportate le colonne interessate:Tabella 6.1. Etichette scansione OpenSCAP
Etichetta colonna Definizione Risultato test XCCDF Il nome del risultato del test il quale fornisce un link per i risultati dettagliati della scansione. Completato L'ora esatta alla quale è terminata la scansione. Conforme Il rapporto non ponderato corretto/fallito di conformità in base allo standard usato P Numero di controlli con stato Corretto F Numero di controlli con stato Fallito E Errori presenti nella scansione U Sconosciute N Non applicabile alla macchina K Non controllato S Non selezionato I Informativo X Corretto Totale Numero totale di controlli Ogni riga inizia con una icona la quale indica i risultati di un confronto con una scansione simile precedente. Le icone indicano che la nuova scansione può essere:- — nessuna differenza rispetto alla scansione precedente
- — differenze arbitrarie
- — differenze importanti, può essere presente un numero maggiore di differenze rispetto alla scansione precedente o un numero minore con uno stato idoneo
- — nessuna scansione confrontabile trovata, per questo motivo non è stato eseguito alcun confronto.
- Sistemi → Dettagli del sistema → Audit → Dettagli della scansione
- Questa pagina contiene i risultati di una scansione singola. Essa può essere suddivisa in due parti:
- Dettagli della scansione XCCDFI dettagli della scansione rendono disponibili:
- le informazioni generali del percorso del file
- gli argomenti della linea di comando usati
- chi l'ha programmata
- l'identificatore di riferimento e la versione
- l'identificatore del profilo
- il titolo del profilo
- l'inizio ed il completamento
- qualsiasi output d'errore.
- Risultati della regola XCCDFI risultati della regola forniscono un elenco completo di identificatori della regola XCCDF, i tag di identificazione ed il risultato per ogni regola. Questo elenco può essere filtrato in base ad un risultato specifico.
- Sistemi → Dettagli del sistema → Audit → Programmazione
- In questa sottoscheda è possibile programmare nuove scansioni, ed è possibile altresì fornire argomenti aggiuntivi della linea di comando insieme al percorso per il documento XCCDF sul sistema sul quale è stata eseguita la scansione. In base al parametro "
Programma non prima di
", la scansione verrà eseguita al check-in successivo previsto con il server di satellite. Per maggiori informazioni su come eseguire una programmazione tramite interfaccia web di satellite consultare Procedura 6.1, «Scansioni tramite l'interfaccia web» in questo capitolo.