7.3. 設定コンプライアンススキャン

7.3.1. RHEL 7 の設定コンプライアンス

設定コンプライアンススキャンを使用することで、特定の組織によって定義されたベースラインに準拠できます。たとえば、米国政府と関係している場合は、Operating System Protection Profile (OSPP) に準拠する必要があります。また、支払い処理業者の場合は、Payment Card Industry Data Security Standard (PCI-DSS) に準拠している必要があります。また、構成コンプライアンスのスキャンを実行して、システムのセキュリティを強化することもできます。
Red  Hat は、影響を受けるコンポーネントのRed  Hat のベストプラクティスに沿っているため、SCAP Security Guide パッケージで提供されるSecurity Content Automation Protocol (SCAP) コンテンツに従うことをお勧めします。
SCAP Security Guide パッケージは、SCAP 1.2 および SCAP 1.3 標準に準拠するコンテンツを提供します。openscap scanner ユーティリティは、SCAP Security Guide パッケージで提供される SCAP 1.2 および SCAP 1.3 コンテンツの両方と互換性があります。

重要

設定準拠スキャンを実行しても、システムが準拠していることは保証されません。
SCAP Security Guide スイートは、データストリームドキュメントの形式で複数のプラットフォームのプロファイルを提供します。データストリームは、定義、ベンチマーク、プロファイル、および個々のルールを含むファイルです。各ルールは、コンプライアンスの適用性と要件を指定します。RHEL 7 には、セキュリティポリシーに準拠するためのプロファイルがいくつか用意されています。Red  Hat データストリームには、業界標準に加えて、失敗したルールを修正するための情報も含まれています。

コンプライアンススキャンリソースの構造

データストリーム
   ├── xccdf
   |      ├── ベンチマーク
   |            ├── プロファイル
   |                ├──ルール
   |                    ├── xccdf
   |                         ├── oval リファレンス
   ├── oval                  ├── ocil リファレンス
   ├── ocil                  ├── cpe リファレンス
   └── cpe                   └── 修正
プロファイルは、Operating System Protection Profile (OSPP) や Payment Card Industry Data Security Standard (PCI-DSS) などのセキュリティポリシーに基づく一連のルールです。これにより、セキュリティ基準に準拠するための自動化された方法でシステムを監査できます。
プロファイルを変更 (調整) して、パスワードの長さなどの特定のルールをカスタマイズできます。プロファイルの調整の詳細は、「SCAP Workbench を使用したセキュリティプロファイルのカスタマイズ」を参照してください

注記

コンテナーまたはコンテナーイメージの設定コンプライアンスをスキャンするには、「コンテナーとコンテナーイメージの脆弱性スキャン」 を参照してください。

7.3.2. OpenSCAP スキャンの結果の一例

システムのさまざまなプロパティ、および OpenSCAP スキャンに適用されるデータストリームとプロファイルに応じて、各ルールによって特定の結果が生まれる可能性があります。これは、考えられる結果のリストと、それらの意味の簡単な説明です。

表7.1 OpenSCAP スキャンの結果の例

結果説明
Passこのスキャンでは、このルールとの競合は見つかりませんでした。
Failスキャンにより、このルールとの競合が見つかりました。
Not checkedOpenSCAP はこのルールの自動評価を実行しません。システムがこのルールに手動で準拠しているかどうかを確認します。
Not applicableこのルールは現在の構成には適用されません。
Not selectedこのルールはプロファイルの一部ではありません。OpenSCAP はこのルールを評価せず、結果にこれらのルールを表示しません。
Errorスキャンでエラーが発生しました。詳細は、oscap-scanner コマンドに --verbose DEVEL オプションを指定して参照できます。バグレポートを開くことを検討してください。
Unknownスキャンで予期しない状況が発生しました。詳細は、oscap-scanner コマンドに --verbose DEVEL オプションを指定して参照できます。バグレポートを開くことを検討してください。

7.3.3. 設定コンプライアンスのプロファイルの表示

スキャンまたは修正にプロファイルを使用することを決定する前に、oscap info サブコマンドを使用してプロファイルを一覧表示し、それらの詳細な説明を確認できます。

前提条件

  • openscap-scanner および scap-security-guide パッケージがインストールされます。

手順

  1. SCAP Security Guide プロジェクトが提供する構成コンプライアンスプロファイルを含むすべての利用可能なファイルを一覧表示します。
    ~]$ ls /usr/share/xml/scap/ssg/content/
    ssg-firefox-cpe-dictionary.xml  ssg-rhel6-ocil.xml
    ssg-firefox-cpe-oval.xml        ssg-rhel6-oval.xml
    ...
    ssg-rhel6-ds-1.2.xml            ssg-rhel8-xccdf.xml
    ssg-rhel6-ds.xml
    ...
  2. oscap info サブコマンドを使用して、選択したデータストリームに関する詳細情報を表示します。データストリームを含む XML ファイルは、その名前の -ds 文字列で示されます。Profiles セクションには、利用可能なプロファイルとその ID のリストがあります。
    ~]$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    ...
    Profiles:
    	Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
    		Id: xccdf_org.ssgproject.content_profile_pci-dss
    	Title: OSPP - Protection Profile for General Purpose Operating Systems v. 4.2.1
    		Id: xccdf_org.ssgproject.content_profile_ospp
    ...
  3. データストリームファイルからプロファイルを選択し、選択したプロファイルに関する追加の詳細を表示します。これを行うには、oscap info -profile オプションを指定し、その後に前のコマンドの出力に表示された ID のサフィックスを続けます。たとえば、PCI-DSS プロファイルの ID はxccdf_org.ssgproject.content_profile_pci-dss です。 -profile オプションの値は _pci-dss にすることができます。
    ~]$ oscap info --profile _pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    ...
    Profile
    	Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
    	Id: xccdf_org.ssgproject.content_profile_pci-dss
    
    	Description: Ensures PCI-DSS v3.2.1 related security configuration settings are applied.
    ...
  4. または、GUI を使用する場合は、scap-security-guide-docパッケージをインストールし、file:///usr/share/doc/scap-security-guide-doc-0.1.46/ssg-rhel7-guide-index.htmlファイルを Web ブラウザーで開きます。「Guide to the Secure Configuration of Red  Hat Enterprise Linux 7」ドキュメントの右上のフィールドで必要なプロファイルを選択すると、後続の評価のために関連するコマンドにすでに含まれている ID を確認できます。

関連情報

  • man ページの scap-security-guide (8) には、プロファイルのリストも含まれています。

7.3.4. 特定のベースラインとの構成コンプライアンスの評価

システムが特定のベースラインに準拠しているかどうかを確認するには、次の手順に従います。

前提条件

  • openscap-scanner および scap-security-guide パッケージがインストールされます。
  • システムが準拠する必要があるベースライン内のプロファイルの ID はわかっています。ID を見つけるには、「設定コンプライアンスのプロファイルの表示」を参照してください。

手順

  1. 選択したプロファイルに対するシステムのコンプライアンスを評価し、スキャン結果を report.html HTML ファイルに保存します。次に例を示します。
    ~]$sudo oscap xccdf eval --reportreport.html --profile ospp/usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
  2. オプション: 脆弱性に対して、ホスト名machine1、ポート 22 で実行する SSH、およびユーザー名 joesec でリモートシステムをスキャンし、結果を remote-report.html ファイルに保存します。
    ~]$oscap-ssh joesec@machine1 22 xccdf eval --report remote_report.html --profile ospp/usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。