6.4. 監査スキャンの実行

Red Hat Satellite Server での OpenSCAP の統合により、クライアントシステム上で監査スキャンを行うことができるようになります。このセクションでは、これらのスキャンを実行するために利用できる方法について説明します。

6.4.1. Web インターフェースを使った監査スキャン

このセクションでは、監査スキャンを実行するために Satellite web インターフェースを使用する方法について説明します。

手順6.1 Web インターフェースを使用した監査スキャンの実行

  1. Satellite Web インターフェースにログインします。
  2. システムsystem_name の順にクリックします。
  3. 監査スケジュール の順にクリックします。
  4. 新規の XCCDF スキャンをスケジュール ページに入力します。このページのフィールドの詳細は 「「スケジュール」ページ」 を参照してください。

    警告

    XCCDF コンテンツは検証後にリモートシステムで実行されます。無効なコマンドライン引数を指定すると、spacewalk-oscap による検証や実行が失敗する可能性があります。セキュリティー対策上、oscap xccdf eval コマンドが受け入れるのは限られたパラメーターセットのみになります。

注記

rhn_check コマンドを実行して、クライアントシステムで動作が正しく選択されているかどうかを確認します。
# rhn_check -vv
rhnsdosad がクライアントシステムで実行している場合、アクションはこれらのサービスによって検知されます。これらが実行中であることを確認するには、以下のコマンドのいずれかを実行します。
Red Hat Enterprise Linux 5 および 6 の場合:
# service rhnsd start
# chkconfig rhnsd on
または
# service osad start
# chkconfig osad on
Red Hat Enterprise Linux 7 の場合
# systemctl enable rhnsd
# systemctl start rhnsd
または
# systemctl enable osad
# systemctl start osad
スキャンの結果を確認する場合は 「SCAP 監査の結果の表示」 を参照してください。

6.4.2. API を使った監査スキャン

このセクションでは、監査スキャンを実施するために Satellite API を使用する方法について説明します。

手順6.2 API を使った監査スキャンの実行

  1. 既存のスクリプトを選択するか、またはフロントエンドの API system.scap.scheduleXccdfScan を使ってシステムスキャンのスケジュールを行うスクリプトを作成します。例を以下に示します。
    #!/usr/bin/python
    import xmlrpclib
    client = xmlrpclib.Server('https://satellite.example.com/rpc/api')
    key = client.auth.login('username', 'password')
    client.system.scap.scheduleXccdfScan(key, 1000010001,
        '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
        '--profile united_states_government_configuration_baseline')
    上記の説明は次のとおりです。
    • 1000010001 は system ID (sid) です。
    • /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml はクライアントシステム上のコンテンツのある場所へのパスです。この場合、/usr/local/share/scap ディレクトリー内の USGCB コンテンツを想定しています。
    • --profile united_states_government_configuration_baselineoscap コマンドの追加引数です。この場合、USGCB を使用しています。
  2. いずれかのシステムのコマンドラインインターフェースでスクリプトを実行します。このシステムには適切な python ライブラリと XML-RPC ライブラリをインストールしておく必要があります。

注記

rhn_check コマンドを実行して、クライアントシステムで動作が正しく選択されているかどうかを確認します。
# rhn_check -vv
代わりに rhnsdosad がクライアントシステムで実行している場合には、動作はこれらのサービスによって選択されます。これらが実行中であることを確認するには、以下のコマンドのいずれかを実行します。
Red Hat Enterprise Linux 5 および 6 の場合:
# service rhnsd start
# chkconfig rhnsd on
または
# service osad start
# chkconfig osad on
Red Hat Enterprise Linux 7 の場合
# systemctl enable rhnsd
# systemctl start rhnsd
または
# systemctl enable osad
# systemctl start osad

6.4.3. SCAP 監査の結果の表示

終了したスキャンの結果を表示する方法は 3 通りあります。
  • Web インターフェースを使う方法。スキャンの終了後、結果は特定のシステムの 監査 ページに表示されます。「OpenSCAP Satellite の Web インターフェース」 を参照してください。
  • ハンドラーの system.scap で API 関数を使う方法。
  • spacewalk-report コマンドを使用する方法。次のコマンドを実行します。
    # spacewalk-report system-history-scap
    # spacewalk-report scap-scan
    # spacewalk-report scap-scan-results