Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.3. oscap の使用

oscap コマンドラインユーティリティーを使うと、ローカルシステムのスキャン、セキュリティコンプライアンスコンテンツの確認、これらのスキャンおよび評価を基にしたレポートとガイドの生成ができます。このユーティリティーは OpenSCAP ライブラリーへのフロントエンドとしてのサービスを提供し、その機能を処理する SCAP コンテンツのタイプに基づいてモジュール (サブコマンド) にグループ化します。
以下のセクションでは oscap のインストール方法、最も一般的な操作の実行方法、これらのタスクの関連する例の表示方法を説明します。特定のサブコマンドの詳細を確認するには、oscap コマンドの --help オプションを使用してください。
oscap [options] module module_operation [module_operation_options_and_arguments] --help
ここでの module は、処理されている SCAP コンテンツのタイプになります。また、module_operation は、SCAP コンテンツにおける特定の操作のサブコマンドになります。

例8.4 特定の oscap 操作に関するヘルプ

~]$ oscap ds sds-split --help
oscap -> ds -> sds-split

Split given SourceDataStream into separate files

Usage: oscap [options] ds sds-split [options] SDS TARGET_DIRECTORY

SDS - Source data stream that will be split into multiple files.
TARGET_DIRECTORY - Directory of the resulting files.

Options:
   --datastream-id <id>          - ID of the datastream in the collection to use.
   --xccdf-id <id>               - ID of XCCDF in the datastream that should be evaluated.
oscap の全機能を学習し、オプションの完全一覧を確認するには、oscap(8) man ページを参照してください。

8.3.1. oscap のインストール

システムに oscap をインストールするには、root で以下のコマンドを実行します。
~]# yum install openscap-utils
このコマンドにより、ユーティリティー自体を提供する openscap パッケージを含む、oscap が正常に機能するために必要な全パッケージがインストールされます。
独自のセキュリティコンテンツを書き込みたい場合は、Script Check Engine (SCE) を提供する openscap-engine-sce パッケージをインストールします。SCE は SCAP プロトコルの拡張機能で、コンテンツ作者は Bash、Python、Ruby などのスクリプト言語を使って独自のセキュリティコンテンツを記述することができます。openscap-engine-sce パッケージは openscap-utils パッケージと同じ方法でインストールできますが、Red Hat Enterprise Linux 用のオプションパッケージがあるリポジトリーまたはチャンネルにアクセスする必要があります。Red Hat Subscription Management にシステムが登録されている場合は、Red Hat Enterprise Linux 6 導入ガイドの Yum の章で説明してある rhel-6-variant-optional-rpms リポジトリーを有効にします。ここでの variant は、serverworkstation などの Red Hat Enterprise Linux のバリアントになります。システムが RHN Classic に登録されている場合は、https://access.redhat.com/site/solutions/9907 の説明にあるようにシステムを rhel-architecture-variant-6-optional チャンネルにサブスクライブさせます。
オプションとして、oscap のインストール後に使用する oscap のバージョンの機能やこのバージョンがサポートする仕様、特定の oscap ファイルの保存場所、使用可能な SCAP オブジェクトの種類、他の役立つ情報をチェックできます。これらの情報を表示するには、以下のコマンドを実行します。
~]$ oscap -V
OpenSCAP command line tool (oscap) 1.0.8
Copyright 2009--2014 Red Hat Inc., Durham, North Carolina.

==== Supported specifications ====
XCCDF Version: 1.2
OVAL Version: 5.10.1
CPE Version: 2.3
CVSS Version: 2.0
CVE Version: 2.0
Asset Identification Version: 1.1
Asset Reporting Format Version: 1.1

==== Capabilities added by auto-loaded plugins ====
SCE Version: 1.0 (from libopenscap_sce.so.8)

==== Paths ====
Schema files: /usr/share/openscap/schemas
Schematron files: /usr/share/openscap/xsl
Default CPE files: /usr/share/openscap/cpe
Probes: /usr/libexec/openscap

==== Inbuilt CPE names ====
Red Hat Enterprise Linux - cpe:/o:redhat:enterprise_linux
Red Hat Enterprise Linux 5 - cpe:/o:redhat:enterprise_linux:5
Red Hat Enterprise Linux 6 - cpe:/o:redhat:enterprise_linux:6
Red Hat Enterprise Linux 7 - cpe:/o:redhat:enterprise_linux:7
Fedora 16 - cpe:/o:fedoraproject:fedora:16
Fedora 17 - cpe:/o:fedoraproject:fedora:17
Fedora 18 - cpe:/o:fedoraproject:fedora:18
Fedora 19 - cpe:/o:fedoraproject:fedora:19
Fedora 20 - cpe:/o:fedoraproject:fedora:20
Fedora 21 - cpe:/o:fedoraproject:fedora:21
Red Hat Enterprise Linux Optional Productivity Applications - cpe:/a:redhat:rhel_productivity
Red Hat Enterprise Linux Optional Productivity Applications 5 - cpe:/a:redhat:rhel_productivity:5

==== Supported OVAL objects and associated OpenSCAP probes ====
system_info                  probe_system_info           
family                       probe_family                
filehash                     probe_filehash              
environmentvariable          probe_environmentvariable   
textfilecontent54            probe_textfilecontent54     
textfilecontent              probe_textfilecontent       
variable                     probe_variable              
xmlfilecontent               probe_xmlfilecontent        
environmentvariable58        probe_environmentvariable58 
filehash58                   probe_filehash58            
inetlisteningservers         probe_inetlisteningservers  
rpminfo                      probe_rpminfo               
partition                    probe_partition             
iflisteners                  probe_iflisteners           
rpmverify                    probe_rpmverify             
rpmverifyfile                probe_rpmverifyfile         
rpmverifypackage             probe_rpmverifypackage      
selinuxboolean               probe_selinuxboolean        
selinuxsecuritycontext       probe_selinuxsecuritycontext
file                         probe_file                  
interface                    probe_interface             
password                     probe_password              
process                      probe_process               
runlevel                     probe_runlevel              
shadow                       probe_shadow                
uname                        probe_uname                 
xinetd                       probe_xinetd                
sysctl                       probe_sysctl                
process58                    probe_process58             
fileextendedattribute        probe_fileextendedattribute 
routingtable                 probe_routingtable
oscap ユーティリティーを効果的に使い始める前に、システムにいくつかのセキュリティコンテンツをインストールもしくはインポートする必要があります。SCAP コンテンツはそれぞれのウェブサイトからダウンロードするか、RPM ファイルもしくはパッケージとして指定されている場合は、Yum パッケージマネジャーを使って指定された場所もしくは既知のリポジトリーからインストールすることができます。
たとえば、Linux システム用の最新のセキュリティポリシー一式を含む SCAP Security Guide (SSG) パッケージをインストールするには、以下のコマンドを実行します。
~]# yum install scap-security-guide
システムに scap-security-guide パッケージをインストールした後は、特に指定されていなければ、SSG セキュリティコンテンツは /usr/share/xml/scap/ssg/content/ ディレクトリーにあり、他のセキュリティコンプライアンス作業に進むことができます。
個別のニーズに合致する可能性のある既存の SCAP コンテンツの他のソースが必要な場合は、「その他のリソース」 を参照してください。
システムに SCAP コンテンツをインストールした後は、コンテンツへのパスを指定することで oscap はコンテンツを処理できます。oscap ユーティリティーは SCAP バージョン 1.2 をサポートしており、SCAP バージョン 1.1 および 1.0 とも後方互換性があるので、特別な要件を必要とせずに以前のバージョンの SCAP コンテンツを処理できます。