Red Hat Training
A Red Hat training course is available for Red Hat Satellite
6.4. 監査スキャンの実行
Red Hat Satellite Server での OpenSCAP の統合により、クライアントシステム上で監査スキャンを行うことができるようになります。このセクションでは、これらのスキャンを実行するために利用できる方法について説明します。
6.4.1. Web インターフェースを使った監査スキャン
このセクションでは、監査スキャンを実行するために Satellite web インターフェースを使用する方法について説明します。
手順6.1 Web インターフェースを使用した監査スキャンの実行
- Satellite Web インターフェースにログインします。
- システム → system_name の順にクリックします。
- 監査 → スケジュール の順にクリックします。
新規の XCCDF スキャンをスケジュール
ページに入力します。このページのフィールドの詳細は 「「スケジュール」ページ」 を参照してください。警告
XCCDF コンテンツは検証後にリモートシステムで実行されます。無効なコマンドライン引数を指定すると、spacewalk-oscap
による検証や実行が失敗する可能性があります。セキュリティー対策上、oscap xccdf eval
コマンドが受け入れるのは限られたパラメーターセットのみになります。
注記
rhn_check
コマンドを実行して、クライアントシステムで動作が正しく選択されているかどうかを確認します。
# rhn_check -vv
rhnsd
や osad
がクライアントシステムで実行している場合、アクションはこれらのサービスによって検知されます。これらが実行中であることを確認するには、以下のコマンドのいずれかを実行します。
Red Hat Enterprise Linux 5 および 6 の場合:
# service rhnsd start
# chkconfig rhnsd on
または# service osad start
# chkconfig osad on
Red Hat Enterprise Linux 7 の場合
# systemctl enable rhnsd
# systemctl start rhnsd
または# systemctl enable osad
# systemctl start osad
スキャンの結果を確認する場合は 「SCAP 監査の結果の表示」 を参照してください。
6.4.2. API を使った監査スキャン
このセクションでは、監査スキャンを実施するために Satellite API を使用する方法について説明します。
手順6.2 API を使った監査スキャンの実行
- 既存のスクリプトを選択するか、またはフロントエンドの API
system.scap.scheduleXccdfScan
を使ってシステムスキャンのスケジュールを行うスクリプトを作成します。例を以下に示します。#!/usr/bin/python import xmlrpclib client = xmlrpclib.Server('https://satellite.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')
上記の説明は次のとおりです。- 1000010001 は
system ID (sid)
です。 /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml
はクライアントシステム上のコンテンツのある場所へのパスです。この場合、/usr/local/share/scap
ディレクトリー内の USGCB コンテンツを想定しています。--profile united_states_government_configuration_baseline
はoscap
コマンドの追加引数です。この場合、USGCB を使用しています。
- いずれかのシステムのコマンドラインインターフェースでスクリプトを実行します。このシステムには適切な python ライブラリと XML-RPC ライブラリをインストールしておく必要があります。
注記
rhn_check
コマンドを実行して、クライアントシステムで動作が正しく選択されているかどうかを確認します。
# rhn_check -vv
代わりに
rhnsd
や osad
がクライアントシステムで実行している場合には、動作はこれらのサービスによって選択されます。これらが実行中であることを確認するには、以下のコマンドのいずれかを実行します。
Red Hat Enterprise Linux 5 および 6 の場合:
# service rhnsd start
# chkconfig rhnsd on
または# service osad start
# chkconfig osad on
Red Hat Enterprise Linux 7 の場合
# systemctl enable rhnsd
# systemctl start rhnsd
または# systemctl enable osad
# systemctl start osad
6.4.3. SCAP 監査の結果の表示
終了したスキャンの結果を表示する方法は 3 通りあります。
- Web インターフェースを使う方法。スキャンの終了後、結果は特定のシステムの 監査 ページに表示されます。「OpenSCAP Satellite の Web インターフェース」 を参照してください。
- ハンドラーの
system.scap
で API 関数を使う方法。 spacewalk-report
コマンドを使用する方法。次のコマンドを実行します。# spacewalk-report system-history-scap
# spacewalk-report scap-scan
# spacewalk-report scap-scan-results