Red Hat Training

A Red Hat training course is available for Red Hat Satellite

6.2. RHN Satellite의 OpenSCAP

6.2.1. 전제 조건

패키지 요구 사항

SCAP에는 다음과 같은 패키지가 필요합니다:

  • 서버의 경우: RHN Satellite 5.5
  • 클라이언트의 경우: spacewalk-oscap 패키지 (RHN Tools 자식 채널에서 검색 가능)
인타이틀먼트 요구 사항

검사 일정을 스케줄링하려면 Management 인타이틀먼트가 필요합니다.

기타 요구 사항

클라이언트의 경우: XCCDF 컨텐츠를 클라이언트 컴퓨터에 전달합니다

다음과 같은 방법을 통해 XCCDF 컨텐츠를 클라이언트 컴퓨터에 전달할 수 있습니다:
  • 기존의 방법 (CD, USB, nfs, scp, ftp)
  • Satellite 스크립트
  • RPM
    SCAP 컨텐츠를 다른 컴퓨터로 전송하는 경우 사용자 정의 RPM을 사용하는 방법을 추천합니다. RPM 패키지는 무결성을 보증하기 위해 서명하고 검증할 수 있습니다. RPM 패키지를 설치, 제거, 검증하는 것은 사용자 인터페이스에서 관리할 수 있습니다.

6.2.2. 감사 검사 실행

RHN Satellite 서버에서 OpenSCAP 통합을 통해 클라이언트 시스템에서 감사 검사를 실행할 수 있습니다. 다음 부분에서는 사용 가능한 두 가지 방법에 대해 설명합니다.

절차 6.1. 웹 인터페이스를 통한 검사

Satellite 웹 인터페이스를 통해 검사할 경우 다음을 실행합니다:
  1. Satellite 웹 인터페이스로 로그인합니다.
  2. 시스템대상 시스템 순으로 클릭합니다.
  3. 감사스케줄 순으로 클릭합니다.
  4. 새 XCCDF 검사 일정 스케줄 양식을 작성합니다:
    • 명령행 인수: oscap 도구의 추가 인수를 이 필드에 추가할 수 있습니다. 사용할 수 있는 인수는 다음의 두 가지 인수 밖에 없습니다:
      --profile PROFILE — XCCDF 문서에서 특정 프로파일을 선택합니다. 프로파일은 XCCDF xml 파일에 의해 지정되며 Profile id 태그를 사용하여 확인할 수 있습니다. 예: 
      Profile id="RHEL6-Default"

      참고

      특정 OpenSCAP 버전에는 --profile 명령행 인수가 필요하며 인수를 붙이지 않을 경우 검사 실패합니다.
      --skip-valid — 입력/출력 파일의 유효성을 확인하지 않습니다. XCCDF 컨텐츠가 올바른 형식으로 구성되어 있지 않으면 사용자는 파일 검증 과정을 무시하기 위해 이를 사용하도록 선택할 수 있습니다.
      명령행 인수가 전달되지 않으면 이는 기본 프로파일을 사용합니다.
    • XCCDF 문서 경로: 필수 입력란입니다. path 매개변수는 클라이언트 시스템에 있는 컨텐츠 위치를 가리킵니다. 예: /usr/local/scap/dist_rhel6_scap-rhel6-oval.xml

      주의

      xccdf 컨텐츠는 검증된 후 원격 시스템에서 실행됩니다. 잘못된 인수를 지정하면 검증이나 실행을 위한 spacewalk-oscap를 실패할 수 있습니다. 보안 상의 이유로 'osccap xccdf eval' 명령은 한정된 매개 변수 모음만을 허용합니다.
  5. rhn_check를 실행하여 클라이언트 시스템에 의해 동작이 제대로 선택되는지 확인합니다. 
    rhn_check -vv

    참고

    다른 방법으로 rhnsd 또는 osad가 클라이언트 시스템에서 실행되고 있을 경우, 동작은 이 서비스에 의해 선택됩니다. 서비스가 실행되고 있는지 확인하려면 다음을 실행합니다: 
    service rhnsd start
    또는 
    service osad start
검사 결과를 확인하려면 6.2.3절. “SCAP 결과를 확인하는 방법 ”에서 참조하십시오.
웹 UI를 통해 검사 일정 스케줄링

그림 6.1. 웹 UI를 통해 검사 일정 스케줄링

절차 6.2. API를 통해 검사

API를 통해 감사 검사를 실행하는 경우:
  1. 기존 스크립트를 선택하거나 프론트 앤드 API, system.scap.scheduleXccdfScan을 통해 시스템 검사를 스케줄하기 위해 스크립트를 생성합니다.
    예시 스크립트: 
    #!/usr/bin/python
client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
key = client.auth.login('username', 'password')
client.system.scap.scheduleXccdfScan(key, 1000010001,
    '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
    '--profile united_states_government_configuration_baseline')
    여기서:
    • 1000010001은 system ID (sid)입니다.
    • /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml는 클라이언트 시스템에 있는 컨텐츠 위치를 가리키는 경로 매개 변수입니다. 이 경우 /usr/local/share/scap 디렉토리에 USGSB 컨텐츠가 있다고 가정합니다.
    • --profile united_states_government_configuration_baseline은 oscap 도구의 추가 인수를 나타냅니다. 이 경우 USCFGB를 사용하고 있습니다.
  2. 시스템의 명령행 인터페이스에서 스크립트를 실행합니다. 시스템에는 적절한 python 및 xmlrpc 라이브러리가 설치되어 있어야 합니다.
  3. rhn_check를 실행하여 클라이언트 시스템에 의해 동작이 제대로 선택되는지 확인합니다. 
    rhn_check -vv

    참고

    다른 방법으로 rhnsd 또는 osad가 클라이언트 시스템에서 실행되고 있을 경우, 동작은 이 서비스에 의해 선택됩니다. 서비스가 실행되고 있는지 확인하려면 다음을 실행합니다: 
    service rhnsd start
    또는 
    service osad start

6.2.3. SCAP 결과를 확인하는 방법

종료한 검사 결과를 확인하는 데는 3 가지 방법이 있습니다:
  • 웹 인터페이스를 사용하는 방법. 동작을 실행하면 결과는 시스템의 감사 탭에 나타납니다. 이 페이지는 6.2.4절. “OpenSCAP Satellite 페이지 ”에서 설명하고 있습니다.
  • 처리기 system.scap에서 API 함수를 사용하는 방법
  • Satellite의 spacewalk-reports 도구를 사용하는 방법으로 다음 명령을 실행합니다: 
        # /usr/bin/spacewalk-reports system-history-scap
    # /usr/bin/spacewalk-reports scap-scan
    # /usr/bin/spacewalk-reports scap-scan-results

6.2.4. OpenSCAP Satellite 페이지

다음 부분에서는 OpenSCAP를 포함하는 RHN Satellite Web UI에 있는 탭에 대해 설명합니다.

6.2.4.1. 감사

상단 네비게이션 바의 감사 탭은 RHN Satellite Server 5.5에 있는 OpenSCAP 기능에 대한 포괄적인 페이지입니다. 이 탭을 클릭하면 완료된 OpenSCAP 검사 보기, 검색 비교 등을 할 수 있습니다.
감사전체 검사
전체 검사감사 탭을 선택할 때 표시되는 기본 페이지입니다. 이 페이지에서는 사용자에게 볼 수 있는 권한이 주어지는 완료된 모든 OpenSCAP 검사를 표시합니다. 검사 권한은 시스템 권한에서 오는 것입니다.
감사 ⇒ 전체 검사

그림 6.2. 감사 ⇒ 전체 검사

각 검사에 대해 다음과 같은 정보가 표시됩니다:
시스템
검사 대상 시스템
XCCDF 프로파일
평가된 프로파일
완료
완료 시간
합격
합격한 규칙 수입니다. 평가 결과가 합격 또는 수정된 것일 경우 규칙은 합격으로 간주됩니다.
불합격
불합격한 규칙 수입니다. 평가 결과가 실패하는 경우 규칙은 불합격으로 간주됩니다.
알 수 없음
평가 실패한 규칙 수입니다. 평가 결과에 오류가 발생하거나 불명확 또는 확인되지 않는 경우 규칙은 알 수 없는 것으로 간주됩니다.
또한 XCCDF 규칙 평가에서는 정보, 적용할 수 없음 또는 선택되지 않음과 같은 상태를 반환할 수 있습니다. 이러한 경우 주어진 규칙은 이 페이지의 통계에 포함되지 않습니다. 보다 자세한 내용은 시스템 정보감사에서 참조하십시오.
감사XCCDF 비교
XCCDF 비교는 두 XCCDF 검사 비교를 시각화하는 애플리케이션입니다. 이는 두 검사의 메타데이터와 결과 목록을 표시합니다.
감사 ⇒ XCCDF 비교

그림 6.3. 감사 ⇒ XCCDF 비교

검사 목록 페이지에서 아이콘을 클릭하면 유사한 검사의 diff에 직접 액세스할 수 있습니다. 또는 ID를 지정하여 임의적 검사를 diff할 수 있습니다.
비교된 검사 중 하나만 나타나는 항목은 "변동" 항목으로 간주됩니다. 변동 항목은 항상 베이지 색으로 강조 표시됩니다. 다음 과 같은 세 가지 비교 모드가 있습니다: 전체 비교는 검사한 모든 항목을 표시합니다. 변경된 항목만은 변경된 항목을 표시합니다. 변경되지 않은 항목만은 변경되지 않거나 유사한 항목을 표시합니다.
감사고급 검색
검색 페이지에서는 지정된 기준에 따라 검사를 통해 검색할 수 있습니다. 지정된 기준은 다음과 같습니다:
  • 규칙 결과
  • 대상 컴퓨터
  • 검사 기간
결과 목록을 반환하거나 결과에 포함된 검사 목록을 반환하는 검색입니다.

6.2.4.2. 시스템시스템 정보감사

이 탭과 하부탭에서는 시스템의 컴플라이언스 검사를 스케줄하거나 표시할 수 있습니다. 검사는 SCAP 도구에 의해 실행되며 NIST의 표준 SCAP (Security Content Automation Protocol)를 구현합니다. 시스템을 검사하려면 SCAP 컨텐츠가 준비되어 있고 6.2.1절. “전제 조건 ”에 있는 모든 전제 조건이 충족되어 있는지 확인합니다.
시스템시스템 정보감사검사 목록
시스템 ⇒ 시스템 정보 ⇒ 감사 ⇒ 검사 목록 검사 결과

그림 6.5. 시스템 ⇒ 시스템 정보 ⇒ 감사 ⇒ 검사 목록 검사 결과

이 하부탭에서는 시스템에서 완료한 모든 검사에 대한 요약을 나열합니다. 칼럼의 내용은 다음과 같습니다:

표 6.1. OpenSCAP 검사 레이블

칼럼 레이블 정의
XCCDF 테스트 결과 검사의 상세 결과 정보에 링크된 검사 테스트 결과 이름
완료 검사 완료된 정확한 시간
컴플라이언스 표준 사용에 따라 컴플라이언스의 가중없는 합격/불합격 비율
P 합격 확인 수
F 불합격 확인 수
E 검사 중 발생한 오류
U 알 수 없음
N 시스템에 적용할 수 없음
K 확인되지 않음
S 선택되지 않음
I 정보
X 수정됨
총계 총 확인 수
각 행의 시작 부분에는 이전의 동일한 검사에 대한 비교 결과를 가리키는 아이콘이 있습니다. 아이콘은 다음과 같이 최신 검사 결과를 나타냅니다:
  • "RHN 목록 확인됨" 아이콘 — 이전 검사와 비교하여 다른점이 없음
  • "RHN 목록 경고" 아이콘 — 임의의 차이
  • "RHN 목록 오류" 아이콘 — 주요 다른점, 이전 검사 보다 불합격 수가 더 많거나 합격 수가 적음
  • "RHN 목록 체크인" 아이콘 — 비교 가능한 검사를 찾을 수 없기 때문에 비교가 이루어지지 않음
시스템시스템 정보감사검사 정보
이 페이지에는 단일 검사 결과가 들어 있습니다. 이는 두 부분으로 나뉘어져 있습니다:
  • XCCDF 검사 상세 정보
    다음과 같은 검사 상세 정보가 표시됩니다:
    • 파일 경로에 대한 일반 정보
    • 사용된 명령행 인수
    • 스케줄한 사용자
    • 벤치 마크 식별자와 버전
    • 프로파일 식별자
    • 프로파일 제목
    • 시작 및 완료 시간
    • 오류 출력
  • XCCDF 규칙 결과
    규칙 결과는 XCCDF 규칙 식별자의 전체 목록을 제공하고 각 규칙 결과의 태그와 결과를 확인할 수 있습니다. 이 목록은 특정 결과에 의해 필터링될 수 있습니다.
시스템시스템 정보감사스케줄
이 하위탭에서 새로운 검사 일정을 스케줄할 수 있습니다. 추가 명령행 인수는 검사할 시스템의 XCCDF 문서 경로와 함께 제공됩니다. "바로 다음 스케줄" 매개 변수에 따라 검사는 Satellite 서버를 사용하여 시스템의 다음으로 스케줄된 체크인에서 실행하게 됩니다. Satellite 웹 인터페이스를 사용하여 스케줄 설정하는 방법에 대한 자세한 내용은 절차 6.1. “웹 인터페이스를 통한 검사 ”에서 참조하십시오.