Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.9. 実用的な使用例

本セクションでは、Red Hat 製品用に提供されている特定のセキュリティーコンテンツの実用的な使用例を紹介します。

7.9.1. Red Hat 製品のセキュリティー脆弱性の監査

Red Hat は、製品に OVAL 定義を継続的に提供します。この定義は、インストールしたソフトウェアにおける脆弱性の自動監査に対してこの定義が許可されます。このプロジェクトの詳細は、「Security Data」を参照してください。定義をダウンロードするには、以下のコマンドを実行します。
~]$ wget http://www.redhat.com/security/data/oval/com.redhat.rhsa-all.xml
Red Hat Satellite 5 の場合は、パッチ定義の XCCDF の部分が役に立つ場合があります。この定義をダウンロードするには、以下のコマンドを実行します。
~]$ wget http://www.redhat.com/security/data/metrics/com.redhat.rhsa-all.xccdf.xml
システムにインストールしたソフトウェアのセキュリティー脆弱性を監査するには、以下のコマンドを実行します。
~]$ oscap oval eval --results rhsa-results-oval.xml --report oval-report.html com.redhat.rhsa-all.xml
oscap ユーティリティーは、National Vulnerability Database にリンクしている CVE に Red Hat セキュリティーアドバイザリーをマッピングして、どのセキュリティーアドバイザリーが適用されていないかを報告します。

注記

これらの OVAL 定義は、Red Hat がリリースしているソフトウェアや更新のみをカバーしていることに注意してください。サードパーティーのソフトウェアのパッチステータスを検出するには、追加の定義を提供する必要があります。

7.9.2. SCAP セキュリティーガイドを使ったシステム設定の監査

SCAP Security Guide (SSG) プロジェクトのパッケージ (scap-security-guide) には、Linux システム向けの最新のセキュリティーーポリシーセットが含まれます。システムに SCAP Security Guide パッケージをインストールするには、root で以下のコマンドを実行します。
~]# yum install scap-security-guide
scap-security-guide の一部は Red Hat Enterprise Linux 7 の設定のガイダンスでもあります。scap-security-guide で利用可能なセキュリティーーコンテンツを調べるには、以下のように oscap info モジュールを使用します。
~]$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
このコマンドの出力は SSG ドキュメントの概要で、利用可能な設定プロファイルが含まれています。ご使用のシステム設定を監査するには、適切なプロファイルを選択して適切な評価コマンドを実行します。たとえば、以下のコマンドは、Red Hat Certified Cloud Providers 用のドラフト SCAP プロファイルに対し特定のシステムを評価するために使われます。
~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results ssg-rhel7-xccdf-result.xml --report ssg-rhel7-report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml