Red Hat Training
A Red Hat training course is available for Red Hat Satellite
6.2. OpenSCAP и RHN Satellite
6.2.1. Требования
Требования пакетов
Обязательные пакеты для SCAP:
- Сервер: RHN Satellite 5.5
- Клиент: spacewalk-oscap (из канала RHN Tools)
Требования полномочий
Для настройки проверок потребуется полномочие управления.
Другие требования
Клиент: возможности передачи содержимого XCCDF другим клиентам.
Способы распределения содержимого XCCDF:
- традиционные методы (CD, USB, nfs, scp, ftp);
- сценарии Satellite;
- RPM.Для передачи содержимого SCAP другим клиентам рекомендуется предпочесть RPM. Для защиты пакетов их можно подписать. Операции установки, удаления и проверки пакетов выполняются через интерфейс пользователя.
6.2.2. Выполнение проверки
Интеграция OpenSCAP и RHN Satellite позволяет выполнять проверку систем клиентов. В этой секции рассматриваются два метода проверки.
Процедура 6.1. Проверка на сайте
Выполнение проверки на сайте Satellite:
- Авторизуйтесь на сайте Satellite.
- Выберите Системы → Целевая система.
- Выберите Аудит → План.
- Заполните форму настройки проверки XCCDF.
- В отдельном поле можно указать два допустимых аргумента командной строки:
--profile ПРОФИЛЬ
— идентификатор профиля XCCDF. Профили определены в файле XML.Profile id="RHEL6-Default"
Примечание
Некоторые версии OpenSCAP могут требовать наличия аргумента --profile во избежание сбоя проверки.--skip-valid
— пропускает проверку файлов.Если аргументы не определены, будет выбран стандартный профиль. - Путь к документу XCCDF. Это поле является обязательным. Пример:
/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml
.Предупреждение
В удаленной системе правила XCCDF будут проверены. Из соображений безопасности команда «osccap xccdf eval» принимает ограниченное число параметров.
- Выполните
rhn_check
, чтобы убедиться, что изменения были применены.rhn_check -vv
Примечание
Если в системе клиента выполняетсяrhnsd
илиosad
, он выполнит полученное действие. Команда запуска:service rhnsd start
илиservice osad start
Раздел 6.2.3, «Просмотр результатов SCAP» содержит информацию о результатах проверки.
Рисунок 6.1. Настройка проверки на сайте
Процедура 6.2. Проверка при помощи API
Порядок выполнения проверки при помощи API:
- Создайте сценарий с вызовом
system.scap.scheduleXccdfScan
.Пример:#!/usr/bin/python client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')
Здесь:- 1000010001 —
идентификатор системы
. /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml
— путь к содержимому в системе клиента. В этом примере содержимое USGSB расположено в каталоге/usr/local/share/scap
.--profile united_states_government_configuration_baseline
— дополнительный аргумент для oscap. В этом случае используется USCFGB.
- Запустите сценарий в командной строке. Для этого в системе должны быть установлены библиотеки python и xmlrpc.
- Выполните
rhn_check
, чтобы убедиться, что изменения были применены.rhn_check -vv
Примечание
Если в системе клиента выполняетсяrhnsd
илиosad
, он выполнит полученное действие. Команда запуска:service rhnsd start
илиservice osad start
6.2.3. Просмотр результатов SCAP
Три метода просмотра результатов проверки:
- На сайте, на вкладке Аудит (см. Раздел 6.2.4, «Страницы OpenSCAP на Satellite»).
- При помощи вызовов к обработчику
system.scap
. spacewalk-reports
:# /usr/bin/spacewalk-reports system-history-scap # /usr/bin/spacewalk-reports scap-scan # /usr/bin/spacewalk-reports scap-scan-results
6.2.4. Страницы OpenSCAP на Satellite
Далее рассматриваются страницы на сайте RHN Satellite, имеющие отношение к OpenSCAP.
6.2.4.1. Аудит
Доступ к основным функциям OpenSCAP, включая проверку, поиск и сравнение результатов.
- Аудит → Все проверки
- Эта страница открывается по умолчанию при выборе вкладки Аудит. Здесь показаны завершенные проверки OpenSCAP. Разрешения просмотра определяются системными разрешениями.
Рисунок 6.2. Аудит ⇒ Все проверки
Сведения о проверке включают следующее:- Система
- Проверяемая система.
- Профиль XCCDF
- Профиль документа XCCDF.
- Завершено
- Время завершения.
- Успешно
- Число успешных проверок (со статусом «завершено» или «исправлено»).
- Неудачно
- Число проверок, завершившихся неудачей.
- Неизвестно
- Число проверок со статусом «ошибка», «неизвестно» и «не проверено».
Другие статусы проверки XCCDF: Информация, Неприменимо, Не выбрано. Информацию об этих проверках можно найти на странице Свойства системы → Аудит. - Аудит → XCCDF Diff
- Сравнение результатов двух проверок при помощи
diff
.Рисунок 6.3. Аудит ⇒ XCCDF Diff
diff
можно выполнить на странице Список проверок или запустить вручную с указанием идентификаторов проверок.Уникальные элементы в проверке будут выделены бежевым цветом. Сравнение может выполняться в трех режимах: полное сравнение, измененные элементы, неизмененные элементы. - Аудит → Расширенный поиск
- На странице поиска можно изменить критерии выбора проверок:
- результаты правил;
- система;
- время проверки.
Рисунок 6.4. Аудит ⇒ Расширенный поиск
Поиск вернет список результатов проверок.
6.2.4.2. Системы → Свойства системы → Аудит
На этой странице можно настроить время запуска проверки, которая будет выполнена в соответствии со стандартом SCAP. Предварительно надо убедиться, что система удовлетворяет требованиям (см. Раздел 6.2.1, «Требования»).
- Системы → Свойства системы → Аудит → Список проверок
Рисунок 6.5. Системы ⇒ Свойства системы ⇒ Аудит ⇒ Список проверок
На этой странице приведены все выполненные проверки. Столбцы в таблице содержат следующую информацию:Таблица 6.1. Значения в таблице проверок OpenSCAP
Столбец Описание Результат проверки XCCDF Ссылка на подробную информацию о результатах проверки. Завершено Время завершения проверки Коэффициент Процент успешных проверок. P Число успешных проверок F Число неуспешных проверок E Ошибки проверки U Неизвестно N Неприменимо к этой системе K Не проверено S Не выбрано I Информация X Исправлено Total Общее число проверок В начале каждой строки показан значок, характеризующий результат проверки по сравнению с предыдущим:- — нет изменений со времени последней проверки.
- — незначительные изменения.
- — значительные изменения, в частности, если число неудачных проверок возросло.
- — не удалось выполнить сравнение.
- Системы → Свойства системы → Аудит → Свойства проверки
- На этой странице приведены результаты проверки.
- Свойства проверки XCCDFЗдесь приведена следующая информация:
- путь к файлу;
- аргументы командной строки;
- пользователь, назначивший проверку;
- идентификатор и версия;
- идентификатор профиля;
- название профиля;
- время начала и завершения проверки;
- сообщения об ошибках.
- Результаты правил XCCDFСписок включает идентификаторы правил, теги, результаты правил и может быть отфильтрован по результатам.
- Системы → Свойства системы → Аудит → План
- На этой вкладке можно назначить время проверки. Можно указать дополнительные аргументы и путь к документу XCCDF в проверяемой системе. Параметр
Назначить не ранее чем
позволяет запустить проверку при следующем плановом подключении системы к Satellite. Процедура 6.1, «Проверка на сайте» содержит подробную информацию.