Red Hat Training

A Red Hat training course is available for Red Hat Satellite

6.2. OpenSCAP и RHN Satellite

6.2.1. Требования

Требования пакетов

Обязательные пакеты для SCAP:

  • Сервер: RHN Satellite 5.5
  • Клиент: spacewalk-oscap (из канала RHN Tools)
Требования полномочий

Для настройки проверок потребуется полномочие управления.

Другие требования

Клиент: возможности передачи содержимого XCCDF другим клиентам.

Способы распределения содержимого XCCDF:
  • традиционные методы (CD, USB, nfs, scp, ftp);
  • сценарии Satellite;
  • RPM.
    Для передачи содержимого SCAP другим клиентам рекомендуется предпочесть RPM. Для защиты пакетов их можно подписать. Операции установки, удаления и проверки пакетов выполняются через интерфейс пользователя.

6.2.2. Выполнение проверки

Интеграция OpenSCAP и RHN Satellite позволяет выполнять проверку систем клиентов. В этой секции рассматриваются два метода проверки.

Процедура 6.1. Проверка на сайте

Выполнение проверки на сайте Satellite:
  1. Авторизуйтесь на сайте Satellite.
  2. Выберите СистемыЦелевая система.
  3. Выберите АудитПлан.
  4. Заполните форму настройки проверки XCCDF.
    • В отдельном поле можно указать два допустимых аргумента командной строки:
      --profile ПРОФИЛЬ — идентификатор профиля XCCDF. Профили определены в файле XML. 
      Profile id="RHEL6-Default"

      Примечание

      Некоторые версии OpenSCAP могут требовать наличия аргумента --profile во избежание сбоя проверки.
      --skip-valid — пропускает проверку файлов.
      Если аргументы не определены, будет выбран стандартный профиль.
    • Путь к документу XCCDF. Это поле является обязательным. Пример: /usr/local/scap/dist_rhel6_scap-rhel6-oval.xml.

      Предупреждение

      В удаленной системе правила XCCDF будут проверены. Из соображений безопасности команда «osccap xccdf eval» принимает ограниченное число параметров.
  5. Выполните rhn_check, чтобы убедиться, что изменения были применены. 
    rhn_check -vv

    Примечание

    Если в системе клиента выполняется rhnsd или osad, он выполнит полученное действие. Команда запуска: 
    service rhnsd start
    или 
    service osad start
Раздел 6.2.3, «Просмотр результатов SCAP» содержит информацию о результатах проверки.
Настройка проверки на сайте

Рисунок 6.1. Настройка проверки на сайте

Процедура 6.2. Проверка при помощи API

Порядок выполнения проверки при помощи API:
  1. Создайте сценарий с вызовом system.scap.scheduleXccdfScan.
    Пример: 
    #!/usr/bin/python
client = xmlrpclib.Server('https://spacewalk.example.com/rpc/api')
key = client.auth.login('username', 'password')
client.system.scap.scheduleXccdfScan(key, 1000010001,
    '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml',
    '--profile united_states_government_configuration_baseline')
    Здесь:
    • 1000010001 — идентификатор системы.
    • /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml — путь к содержимому в системе клиента. В этом примере содержимое USGSB расположено в каталоге /usr/local/share/scap.
    • --profile united_states_government_configuration_baseline — дополнительный аргумент для oscap. В этом случае используется USCFGB.
  2. Запустите сценарий в командной строке. Для этого в системе должны быть установлены библиотеки python и xmlrpc.
  3. Выполните rhn_check, чтобы убедиться, что изменения были применены. 
    rhn_check -vv

    Примечание

    Если в системе клиента выполняется rhnsd или osad, он выполнит полученное действие. Команда запуска: 
    service rhnsd start
    или 
    service osad start

6.2.3. Просмотр результатов SCAP

Три метода просмотра результатов проверки:
  • На сайте, на вкладке Аудит (см. Раздел 6.2.4, «Страницы OpenSCAP на Satellite»).
  • При помощи вызовов к обработчику system.scap.
  • spacewalk-reports: 
        # /usr/bin/spacewalk-reports system-history-scap
    # /usr/bin/spacewalk-reports scap-scan
    # /usr/bin/spacewalk-reports scap-scan-results

6.2.4. Страницы OpenSCAP на Satellite

Далее рассматриваются страницы на сайте RHN Satellite, имеющие отношение к OpenSCAP.

6.2.4.1. Аудит

Доступ к основным функциям OpenSCAP, включая проверку, поиск и сравнение результатов.
АудитВсе проверки
Эта страница открывается по умолчанию при выборе вкладки Аудит. Здесь показаны завершенные проверки OpenSCAP. Разрешения просмотра определяются системными разрешениями.
Аудит ⇒ Все проверки

Рисунок 6.2. Аудит ⇒ Все проверки

Сведения о проверке включают следующее:
Система
Проверяемая система.
Профиль XCCDF
Профиль документа XCCDF.
Завершено
Время завершения.
Успешно
Число успешных проверок (со статусом «завершено» или «исправлено»).
Неудачно
Число проверок, завершившихся неудачей.
Неизвестно
Число проверок со статусом «ошибка», «неизвестно» и «не проверено».
Другие статусы проверки XCCDF: Информация, Неприменимо, Не выбрано. Информацию об этих проверках можно найти на странице Свойства системыАудит.
АудитXCCDF Diff
Сравнение результатов двух проверок при помощи diff.
Аудит ⇒ XCCDF Diff

Рисунок 6.3. Аудит ⇒ XCCDF Diff

diff можно выполнить на странице Список проверок или запустить вручную с указанием идентификаторов проверок.
Уникальные элементы в проверке будут выделены бежевым цветом. Сравнение может выполняться в трех режимах: полное сравнение, измененные элементы, неизмененные элементы.
АудитРасширенный поиск
На странице поиска можно изменить критерии выбора проверок:
  • результаты правил;
  • система;
  • время проверки.
Поиск вернет список результатов проверок.

6.2.4.2. СистемыСвойства системыАудит

На этой странице можно настроить время запуска проверки, которая будет выполнена в соответствии со стандартом SCAP. Предварительно надо убедиться, что система удовлетворяет требованиям (см. Раздел 6.2.1, «Требования»).
СистемыСвойства системыАудитСписок проверок
Системы ⇒ Свойства системы ⇒ Аудит ⇒ Список проверок

Рисунок 6.5. Системы ⇒ Свойства системы ⇒ Аудит ⇒ Список проверок

На этой странице приведены все выполненные проверки. Столбцы в таблице содержат следующую информацию:

Таблица 6.1. Значения в таблице проверок OpenSCAP

Столбец Описание
Результат проверки XCCDF Ссылка на подробную информацию о результатах проверки.
Завершено Время завершения проверки
Коэффициент Процент успешных проверок.
P Число успешных проверок
F Число неуспешных проверок
E Ошибки проверки
U Неизвестно
N Неприменимо к этой системе
K Не проверено
S Не выбрано
I Информация
X Исправлено
Total Общее число проверок
В начале каждой строки показан значок, характеризующий результат проверки по сравнению с предыдущим:
  • "RHN List Checked" — нет изменений со времени последней проверки.
  • "RHN List Alert" — незначительные изменения.
  • "RHN List Error" — значительные изменения, в частности, если число неудачных проверок возросло.
  • "RHN List Check In" — не удалось выполнить сравнение.
СистемыСвойства системыАудитСвойства проверки
На этой странице приведены результаты проверки.
  • Свойства проверки XCCDF
    Здесь приведена следующая информация:
    • путь к файлу;
    • аргументы командной строки;
    • пользователь, назначивший проверку;
    • идентификатор и версия;
    • идентификатор профиля;
    • название профиля;
    • время начала и завершения проверки;
    • сообщения об ошибках.
  • Результаты правил XCCDF
    Список включает идентификаторы правил, теги, результаты правил и может быть отфильтрован по результатам.
СистемыСвойства системыАудитПлан
На этой вкладке можно назначить время проверки. Можно указать дополнительные аргументы и путь к документу XCCDF в проверяемой системе. Параметр Назначить не ранее чем позволяет запустить проверку при следующем плановом подключении системы к Satellite. Процедура 6.1, «Проверка на сайте» содержит подробную информацию.