6.8. 実用的な使用例

本セクションでは、Red Hat 製品用に提供されている特定のセキュリティーコンテンツの実用的な使用例を紹介します。

6.8.1. Red Hat 製品のセキュリティー脆弱性の監査

Red Hat は自社製品用に継続的に OVAL 定義を提供しています。これらの定義により、インストール済みソフトウェアにおける脆弱性の完全自動化された監査が可能になります。このプロジェクトに関する詳細情報は、http://www.redhat.com/security/data/metrics/ を参照してください。これらの定義をダウンロードするには、以下のコマンドを実行します。
~]$ wget http://www.redhat.com/security/data/oval/com.redhat.rhsa-all.xml
Red Hat Satellite 5 のユーザーには、パッチ定義の XCCDF の部分が便利かもしれません。これらの定義をダウンロードするには、以下のコマンドを実行します。
~]$ wget http://www.redhat.com/security/data/metrics/com.redhat.rhsa-all.xccdf.xml
システムにインストール済みのソフトウェアに関するセキュリティー脆弱性を監査するには、以下のコマンドを実行します。
~]$ oscap oval eval --results rhsa-results-oval.xml --report oval-report.html com.redhat.rhsa-all.xml
oscap ユーティリティーは、National Vulnerability Database にリンクしている CVE に Red Hat セキュリティーアドバイザリーをマッピングします。そして、どのセキュリティーアドバイザリーが適用されていないかを報告します。

注記

これらの OVAL 定義は、Red Hat がリリースしているソフトウェアや更新のみをカバーしていることに注意してください。サードパーティーのソフトウェアのパッチステータスを検出するには、追加の定義を提供する必要があります。

6.8.2. SCAP セキュリティーガイドを使ったシステム設定の監査

SCAP Security Guide (SSG) プロジェクトのパッケージ (scap-security-guide) には、Linux システム向けの最新のセキュリティーーポリシーセットが含まれます。システムに SCAP Security Guide パッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install scap-security-guide
scap-security-guide の一部は Red Hat Enterprise Linux 7 の設定のガイダンスでもあります。scap-security-guide で利用可能なセキュリティーーコンテンツを調べるには、以下のように oscap info モジュールを使用します。
~]$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
このコマンドの出力は SSG ドキュメントの概要で、利用可能な設定プロファイルが含まれています。ご使用のシステム設定を監査するには、適切なプロファイルを選択して適切な評価コマンドを実行します。たとえば、以下のコマンドは、Red Hat Certified Cloud Providers 用のドラフト SCAP プロファイルに対し特定のシステムを評価するために使われます。
~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results ssg-rhel7-xccdf-result.xml --report ssg-rhel7-report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml