Red Hat Training
A Red Hat training course is available for Red Hat Satellite
6.5. OpenSCAP Satellite の Web インターフェース
以下のセクションでは、OpenSCAP とその機能へのアクセスを提供する Red Hat Satellite web インターフェース内のページについて説明します。
6.5.1. OpenSCAP のスキャンページ
上部ナビゲーションバーの 監査 タブをクリックして、OpenSCAP のスキャンページを表示します。これは、Satellilte Server におけるすべての OpenSCAP 機能についての「概要」ページです。このページを使用して、完了したスキャンの表示、検索、および比較を行います。
6.5.1.1. 全スキャン
全スキャン ページは、監査 タブに表示されるデフォルトのページです。このページでは、操作しているユーザーが表示できるパーミッションを有している OpenSCAP スキャンで完了したスキャンをすべて表示します。スキャンのパーミッションはシステムのパーミッションから派生します。
各スキャンに対して次の情報が表示されます。
- システム: スキャンされたシステム。
- XCCDF プロファイル: 評価を行ったプロファイル。
- 完了: スキャンが完了した時間。
- 合格: 評価の結果が合格になったルール数。ルールは、評価の結果が合格または修正済みのいずれかになる場合に合格とみなされます。
- 不合格: 評価の結果が不合格になったルール数。ルールは、評価の結果が失敗になる場合に不合格とみなされます。
- 不明: 評価に失敗したルール数。ルールは、評価の結果がエラー、不明、またはチェックされていない、などになる場合に不明とみなされます。
また、XCCDF ルールの評価では情報、適用できません、または選択されていません、などの状態の結果も返します。このような場合、ルールはこのページの統計には含まれません。これらのタイプの結果の詳細については、システムの詳細 → 監査 をご覧ください。
6.5.1.2. XCCDF 差分
XCCDF 差分 は、2 つの XCCDF スキャンの比較を視覚化するアプリケーションです。2 つのスキャンのメタデータのほかに、結果の一覧を表示します。
スキャンの一覧 ページで適切なアイコンをクリックすると、同じようなスキャンの
差分
の出力にアクセスできます。または、任意のスキャンの ID を指定することもできます。
比較スキャンのいずれか一つにしか表示されない項目は「変動」しているとみなされます。変動アイテムは常にベージュ色で強調表示されます。比較モードは 3 種類あります。完全比較 は全スキャンアイテムを表示します。 変更された項目のみ は変更があったアイテムを表示します。変更がない項目のみ は変更がないか、または同じアイテムを表示します。
6.5.1.3. 高度な検索
以下のように、「高度な検索」ページでは指定した条件に従ってスキャンの検索を行うことができます。
- ルールの結果
- 対象マシン
- スキャンの時間枠
検索で返されるのは結果内に含まれるスキャン一覧または結果一覧のいずれかです。
6.5.2. 「システム監査 (Systems Audit)」ページ
システム監査 (Systems Audit) ページでは、特定システムのコンプライアンススキャンをスケジュールしたり表示させたりすることができます。スキャンは NIST 標準の
SCAP (Security Content Automation Protocol)
を実装する OpenSCAP ツールで行います。システムのスキャンを行う場合は、SCAP コンテンツの準備が整い、要件がすべて満たされていることを確認してください。
システム監査 (Systems Audit) ページを表示するには、システム → system_name → 監査 をクリックします。
6.5.2.1. スキャンの一覧
このページには、選択したシステム上で完了した全スキャンの要約が表示されます。以下のコラムが表示されます。
表6.1 OpenSCAP スキャンのラベル
コラムのラベル | 定義 |
---|---|
Xccdf のテスト結果 | スキャンの結果詳細へのリンクになっているスキャンテストの結果の名前 |
完了 | スキャンが終了した正確な時間 |
コンプライアンス | 標準的な使用に基づくコンプライアンスの加重のない合格/不合格の配分 |
P | 合格のチェック数 |
F | 不合格のチェック数 |
E | スキャン中に発生したエラー数 |
U | 不明 |
N | このマシンには適用不可 |
K | チェックされていない |
S | 選択されていない |
I | 情報 |
X | 修正済み |
合計 | チェック合計数 |
各エントリーの先頭には、前回行った同様のスキャンと比較した結果を示すアイコンが表示されています。アイコンは以下を示します。
- No difference between the compared scans.
- Arbitrary differences between the compared scans.
- Major differences between the compared scans. Either there are more failures than the previous scan or less passes.
- No comparable scan was found, and therefore no comparison was made.
6.5.2.2. スキャンの詳細
スキャンの詳細 (Scan Details) ページには、単一スキャンの結果が表示されます。このページは 2 つのセクションに分かれています。
XCCDF スキャンの詳細
このセクションには、次のようなスキャンについての詳細が表示されます。
ファイルシステムパス:
スキャンに使用された XCCDF ファイルへのパスコマンドラインの引数:
使用されたすべての追加コマンドラインの引数プロファイル識別子:
スキャンに使用されたプロファイルの識別子プロファイルのタイトル:
スキャンに使用されたプロファイルのタイトルスキャンのエラー出力:
スキャン中に発生したエラー。
XCCDF ルールの結果
ルールの結果では、XCCDF ルール識別子の全一覧が表示され、各ルールチェックの結果のタグと結果を確認することができます。この一覧は特定の結果でフィルターをかけることができます。
6.5.2.3. 「スケジュール」ページ
新規の XCCDF スキャンをスケジュール ページを使用して、特定のマシン用に新規のスキャンをスケジュールします。指定された日時 以降に スケジュールされている次回のシステムのチェックインでスキャンが行われます。
次のフィールドを設定できます。
- コマンドラインの引数:
oscap
コマンドのオプションの引数になります。以下のいずれかになります。--profile PROFILE
: XCCDF ドキュメントから特定のプロファイルを指定します。プロファイルは、XCCDF XML ファイル内のプロファイル
タグで決定されます。所定の XCCDF ファイル内でプロファイルの一覧を確認するにはoscap
コマンドを使用します。例えば、以下のようになります。$ oscap info /usr/share/openscap/scap-rhel6-xccdf.xml Document type: XCCDF Checklist Checklist version: 1.1 Status: draft Generated: 2011-10-12 Imported: 2012-11-15T22:10:41 Resolved: false Profiles: RHEL6-Default
指定されていない場合は、デフォルトのプロファイルが使用されます。注記
Red Hat Enterprise Linux 5 の以前のバージョンの OpenSCAP には、--profile
オプションを使用しないとスキャンが失敗するものがあります。--skip-valid
: 入力や出力のファイルの検証を行いません。XCCDF コンテンツが適切な形式で構成されていない場合、このオプションを使用するとファイル検証のプロセスを回避することができます。
- XCCDF ドキュメントへのパス: これは必須フィールドになります。
path
パラメーターでクライアントシステム上の XCCDF コンテンツの場所をポイントします。例えば、/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml
などです。警告
XCCDF コンテンツは検証が行われると、リモートシステムで実行されます。無効な引数を指定すると、spacewalk-oscap
による検証や実行が失敗する可能性があります。セキュリティ対策上、oscap xccdf eval
コマンドが受け取るのは限られたパラメーターセットのみになります。
Satellite web インターフェースを使用してスキャンをスケジュールする方法は 「Web インターフェースを使った監査スキャン」 を参照してください。