6.5. OpenSCAP Satellite の Web インターフェース

以下のセクションでは、OpenSCAP とその機能へのアクセスを提供する Red Hat Satellite web インターフェース内のページについて説明します。

6.5.1. OpenSCAP のスキャンページ

上部ナビゲーションバーの 監査 タブをクリックして、OpenSCAP のスキャンページを表示します。これは、Satellilte Server におけるすべての OpenSCAP 機能についての「概要」ページです。このページを使用して、完了したスキャンの表示、検索、および比較を行います。

6.5.1.1. 全スキャン

全スキャン ページは、監査 タブに表示されるデフォルトのページです。このページでは、操作しているユーザーが表示できるパーミッションを有している OpenSCAP スキャンで完了したスキャンをすべて表示します。スキャンのパーミッションはシステムのパーミッションから派生します。
各スキャンに対して次の情報が表示されます。
  • システム: スキャンされたシステム。
  • XCCDF プロファイル: 評価を行ったプロファイル。
  • 完了: スキャンが完了した時間。
  • 合格: 評価の結果が合格になったルール数。ルールは、評価の結果が合格または修正済みのいずれかになる場合に合格とみなされます。
  • 不合格: 評価の結果が不合格になったルール数。ルールは、評価の結果が失敗になる場合に不合格とみなされます。
  • 不明: 評価に失敗したルール数。ルールは、評価の結果がエラー、不明、またはチェックされていない、などになる場合に不明とみなされます。
また、XCCDF ルールの評価では情報適用できません、または選択されていません、などの状態の結果も返します。このような場合、ルールはこのページの統計には含まれません。これらのタイプの結果の詳細については、システムの詳細監査 をご覧ください。

6.5.1.2. XCCDF 差分

XCCDF 差分 は、2 つの XCCDF スキャンの比較を視覚化するアプリケーションです。2 つのスキャンのメタデータのほかに、結果の一覧を表示します。
スキャンの一覧 ページで適切なアイコンをクリックすると、同じようなスキャンの 差分 の出力にアクセスできます。または、任意のスキャンの ID を指定することもできます。
比較スキャンのいずれか一つにしか表示されない項目は「変動」しているとみなされます。変動アイテムは常にベージュ色で強調表示されます。比較モードは 3 種類あります。完全比較 は全スキャンアイテムを表示します。 変更された項目のみ は変更があったアイテムを表示します。変更がない項目のみ は変更がないか、または同じアイテムを表示します。

6.5.2. 「システム監査 (Systems Audit)」ページ

システム監査 (Systems Audit) ページでは、特定システムのコンプライアンススキャンをスケジュールしたり表示させたりすることができます。スキャンは NIST 標準の SCAP (Security Content Automation Protocol) を実装する OpenSCAP ツールで行います。システムのスキャンを行う場合は、SCAP コンテンツの準備が整い、要件がすべて満たされていることを確認してください。
システム監査 (Systems Audit) ページを表示するには、システムsystem_name監査 をクリックします。

6.5.2.1. スキャンの一覧

このページには、選択したシステム上で完了した全スキャンの要約が表示されます。以下のコラムが表示されます。

表6.1 OpenSCAP スキャンのラベル

コラムのラベル定義
Xccdf のテスト結果スキャンの結果詳細へのリンクになっているスキャンテストの結果の名前
完了スキャンが終了した正確な時間
コンプライアンス標準的な使用に基づくコンプライアンスの加重のない合格/不合格の配分
P合格のチェック数
F不合格のチェック数
Eスキャン中に発生したエラー数
U不明
Nこのマシンには適用不可
Kチェックされていない
S選択されていない
I情報
X修正済み
合計チェック合計数
各エントリーの先頭には、前回行った同様のスキャンと比較した結果を示すアイコンが表示されています。アイコンは以下を示します。
  • "List Checked" Icon   No difference between the compared scans.
  • "List Alert" Icon  Arbitrary differences between the compared scans.
  • "List Error" Icon  Major differences between the compared scans. Either there are more failures than the previous scan or less passes.
  • "List Check In" Icon  No comparable scan was found, and therefore no comparison was made.

6.5.2.2. スキャンの詳細

スキャンの詳細 (Scan Details) ページには、単一スキャンの結果が表示されます。このページは 2 つのセクションに分かれています。
XCCDF スキャンの詳細

このセクションには、次のようなスキャンについての詳細が表示されます。

  • ファイルシステムパス: スキャンに使用された XCCDF ファイルへのパス
  • コマンドラインの引数: 使用されたすべての追加コマンドラインの引数
  • プロファイル識別子: スキャンに使用されたプロファイルの識別子
  • プロファイルのタイトル: スキャンに使用されたプロファイルのタイトル
  • スキャンのエラー出力: スキャン中に発生したエラー。

XCCDF ルールの結果

ルールの結果では、XCCDF ルール識別子の全一覧が表示され、各ルールチェックの結果のタグと結果を確認することができます。この一覧は特定の結果でフィルターをかけることができます。

6.5.2.3. 「スケジュール」ページ

新規の XCCDF スキャンをスケジュール ページを使用して、特定のマシン用に新規のスキャンをスケジュールします。指定された日時 以降に スケジュールされている次回のシステムのチェックインでスキャンが行われます。
次のフィールドを設定できます。
  • コマンドラインの引数: oscap コマンドのオプションの引数になります。以下のいずれかになります。
    • --profile PROFILE: XCCDF ドキュメントから特定のプロファイルを指定します。
      プロファイルは、XCCDF XML ファイル内の プロファイル タグで決定されます。所定の XCCDF ファイル内でプロファイルの一覧を確認するには oscap コマンドを使用します。例えば、以下のようになります。
      $ oscap info /usr/share/openscap/scap-rhel6-xccdf.xml
      Document type: XCCDF Checklist
      Checklist version: 1.1
      Status: draft
      Generated: 2011-10-12
      Imported: 2012-11-15T22:10:41
      Resolved: false
      Profiles:
              RHEL6-Default
      指定されていない場合は、デフォルトのプロファイルが使用されます。

      注記

      Red Hat Enterprise Linux 5 の以前のバージョンの OpenSCAP には、--profile オプションを使用しないとスキャンが失敗するものがあります。
    • --skip-valid: 入力や出力のファイルの検証を行いません。XCCDF コンテンツが適切な形式で構成されていない場合、このオプションを使用するとファイル検証のプロセスを回避することができます。
  • XCCDF ドキュメントへのパス: これは必須フィールドになります。 path パラメーターでクライアントシステム上の XCCDF コンテンツの場所をポイントします。例えば、/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml などです。

    警告

    XCCDF コンテンツは検証が行われると、リモートシステムで実行されます。無効な引数を指定すると、spacewalk-oscap による検証や実行が失敗する可能性があります。セキュリティ対策上、oscap xccdf eval コマンドが受け取るのは限られたパラメーターセットのみになります。
Satellite web インターフェースを使用してスキャンをスケジュールする方法は 「Web インターフェースを使った監査スキャン」 を参照してください。