8.3.3. システムのスキャン

oscap の最も重要な機能は、ローカルシステムの設定および脆弱性スキャンを実行することです。以下はコマンドの一般的な構文になります。
oscap [options] module eval [module_operation_options_and_arguments]
oscap ユーティリティーでは、XCCDF (eXtensible Configuration Checklist Description Format) ベンチマークと OVAL (Open Vulnerability and Assessment Language) 定義の両方で表示される SCAP コンテンツに対してシステムのスキャンを行うことができます。セキュリティポリシーは単一の OVAL または XCCDF ファイルの場合もあれば、複数の別個の XML ファイルの場合もあります。後者の場合は、各ファイルが異なるコンポーネントを表します (XCCDF、OVAL、CPE、CVE、その他)。スキャン結果は、標準出力と XML ファイルの両方にプリントすることができます。この結果のファイルは oscap でさらに処理され、ヒューマンリーダブル形式のレポートを生成することができます。以下は、このコマンドの最も一般的な使用例になります。

例8.6 SSG OVAL 定義を使用したシステムのスキャン

すべての定義を評価しながら SSG OVAL 定義ファイルに対してシステムのスキャンを実行するには、以下のコマンドを実行します。
~]$ oscap oval eval --results scan-oval-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
スキャン結果は、scan-oval-results.xml ファイルとして現行ディレクトリーに保存されます。

例8.7 SSG OVAL 定義を使用したシステムのスキャン

SSG データストリームファイルで表されるセキュリティポリシーから特定の OVAL 定義を評価するには、以下のコマンドを実行します。
~]$ oscap oval eval --id oval:ssg:def:100 --results scan-oval-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
スキャン結果は、scan-oval-results.xml ファイルとして現行ディレクトリーに保存されます。

例8.8 SSG XCCDF ベンチマークを使用したシステムのスキャン

システム上の xccdf_org.ssgproject.content_profile_rht-ccp プロファイルの SSG XCCDF ベンチマークを実行するには、以下のコマンドを実行します。
~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results scan-xccdf-results.xml scan-xccdf-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
スキャン結果は、scan-xccdf-results.xml ファイルとして現行ディレクトリーに保存されます。

注記

--profile コマンドラインの引数は、特定の XCCDF またはデータストリームファイルからセキュリティプロファイルを選択します。利用可能なプロファイルの一覧は、oscap info コマンドを実行すると確認できます。--profile コマンドライン引数が省略されると、SCAP 標準で必要とされるデフォルトの XCCDF プロファイルが使用されます。デフォルトの XCCDF プロファイルは適切なセキュリティポリシーである場合もありますが、そうでない場合もあることに注意してください。