6.6. 特定のベースラインによるセキュリティーコンプライアンスの評価

SCAP セキュリティーガイド スイートは、XCCDF、OVAL、およびデータストリームのドキュメント形式で、複数のプラットフォームのプロファイルを提供します。この プロファイル は、OSPP (Operating System Protection Profile)、PCI-DSS (Payment Card Industry Data Security Standard) などのセキュリティーポリシーに基づく一連のルールです。これにより、セキュリティー規格に関しては、自動化された方法でシステムを監査できます。

前提条件

  • openscap-scanner パッケージがインストールされている。

手順

  1. scap-security-guide パッケージをインストールします。

    # yum install scap-security-guide
  2. oscap info サブコマンドを使用して、選択したデータストリームに関する詳細情報を表示します。Profiles セクションでは、利用可能なプロファイルと、その ID の一覧を確認できます。

    $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
    ...
    Profiles:
      Title: PCI-DSS v3 Control Baseline for Red Hat Enterprise Linux 8
        Id: xccdf_org.ssgproject.content_profile_pci-dss
      Title: OSPP - Protection Profile for General Purpose Operating Systems
        Id: xccdf_org.ssgproject.content_profile_ospp
    ...
    [trimmed for clarity]

    データストリームファイルからプロファイルを選択し、前のコマンドの出力で特定された ID の最後の部分を oscap info--profile オプションに提供し、選択したプロファイルの詳細を表示します。たとえば、OSPP プロファイルには、ID xccdf_org.ssgproject.content_profile_ospp があり、--profile オプションの値は ospp です。

    $ oscap info --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

    PCI-DSS v3 Control Baseline プロファイルは、xccdf_org.ssgproject.content_profile_pci-dss によって識別されます。

    $ oscap info --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
    ...
    Description: Ensures PCI-DSS v3 related security configuration settings are applied.
    [trimmed for clarity]

    または、GUI を使用して scap-security-guide-doc パッケージをインストールして、Web ブラウザーで file:///usr/share/doc/scap-security-guide/guides/ssg-rhel8-guide-index.html ファイルを開きます。Guide to the Secure Configuration of Red Hat Enterprise Linux 8 の右上で、必要なプロファイルを選択すると、以下の評価に関する関連コマンドを確認できます。

  3. 選択したプロファイルでそのシステムがどのように複雑であるかを評価し、スキャン内容を保存すると、以下のように HTML ファイル (report.html) に結果が表示されます。

    $ oscap xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

    システムにインストールされている openscap-utils パッケージと、リモートシステムにインストールされている openscap-scanner パッケージを使用して、ホスト名 machine1、ポート 22 で実行している SSH、およびユーザー名 joesec でリモートシステムで脆弱性をスキャンし、結果を remote-report.html ファイルに保存します。

    $ oscap-ssh joesec@machine1 22 xccdf eval --report remote_report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

関連情報