Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

58장. 보안

OpenSCAP rpmverifypackage 가 올바르게 작동하지 않음

chdirchroot 시스템 호출은 rpmverifypackage 프로브에 의해 두 번 호출됩니다. 결과적으로 사용자 정의 OVAL(Open Vulnerability and Assessment Language) 콘텐츠로 OpenSCAP 스캔 중에 프로브를 사용할 때 오류가 발생합니다.
이 문제를 해결하려면 rpmverifypackage_test OVAL 테스트를 콘텐츠에 사용하거나 rpmverifypackage_test 가 사용되지 않는 scap-security-guide 패키지의 콘텐츠만 사용하지 마십시오. (BZ#1603347)

OVAL에서 dconf 데이터베이스를 확인하지 않음

SCAP Security Guide 프로젝트에 사용된 OVAL(Open Vulnerability and Assessment Language) 검사는 dconf 바이너리 데이터베이스를 읽을 수 없으며 데이터베이스를 생성하는 데 사용되는 파일만 읽습니다. 데이터베이스가 자동으로 다시 생성되지 않으며 관리자는 dconf update 명령을 입력해야 합니다. 결과적으로 /etc/dconf/db/ 디렉터리의 파일을 사용하지 않는 데이터베이스를 스캔하여 감지할 수 없습니다. 이로 인해 false negatives 결과가 발생할 수 있습니다.
이 문제를 해결하려면 /etc/crontab 구성 파일을 사용하여 정기적으로 dconf 업데이트를 실행합니다. (BZ#1631378)

SCAP Workbench 가 맞춤형 프로필에서 결과 기반 수정을 생성하지 못했습니다.

SCAP Workbench 도구를 사용하여 사용자 지정 프로필에서 결과 기반 수정 역할을 생성하려고 할 때 다음 오류가 발생합니다. 
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
이 문제를 해결하려면 --tailoring-file 옵션과 함께 oscap 명령을 사용하십시오. (BZ#1533108)

OpenSCAP 스캐너 결과에는 많은 SELinux 컨텍스트 오류 메시지가 포함됩니다.

OpenSCAP 스캐너는 실제 오류가 아닌 경우에도 ERROR 수준에서 SELinux 컨텍스트를 가져올 수 없습니다. 결과적으로 OpenSCAP 스캐너 결과에 많은 SELinux 컨텍스트 오류 메시지가 포함됩니다. oscap 명령줄 유틸리티와 SCAP Workbench 그래픽 유틸리티 출력이 모두 읽기 어려울 수 있습니다. (BZ#1640522)

oscap 검사에서는 과도한 양의 메모리를 사용합니다.

검사의 전체 기간 동안 OVAL(Open Vulnerability Assessment Language) 프로브의 결과 데이터가 메모리에 유지되며 보고서 생성도 메모리 집약적입니다. 결과적으로 대용량 파일 시스템이 스캔되면 oscap 프로세스에서 사용 가능한 모든 메모리를 사용하여 운영 체제에서 종료할 수 있습니다.
이 문제를 해결하려면 맞춤을 사용하여 전체 파일 시스템을 스캔하고 별도로 실행하는 규칙을 제외합니다. 또한 --oval-results 옵션을 사용하지 마십시오. 결과적으로 처리된 데이터의 양을 줄이는 경우 과도한 메모리 사용으로 인해 시스템 스캔이 더 이상 충돌하지 않아야 합니다. (BZ#1548949)