第 6 章 合规性与漏洞扫描

6.1. 红帽企业版 Linux 的安全合规性

"合规审计" 是用来解决给定对象是否遵循合规性策略中写明的所有规定的一个过程。"合规策略" 由负责指定所期望设置的安全专家定义,经常以清单的形式,使用在计算环境中。
合规策略在不同的组织之间有着很大的差别,甚至在同一组织的不同系统下也是如此。策略之间的差异基于这些系统的用途以及它们对于这些组织的重要程度而定。定制软件的设置以及部署的特性也对自定义策略清单提出了需求。
红帽企业版 Linux 提供了支持完全自动化合规审计的工具。这些工具基于安全内容自动化协议(SCAP)标准,专门为合规策略自动化调整设计。

支持红帽企业版 Linux 7 安全合规性工具

  • SCAP Workbenchscap-workbench 图形化工具被设计为在单一的本地或者远程系统上执行配置和漏洞扫描。此外该工具也可以被用来生成基于这些扫描与评估的安全报告。
  • OpenSCAPoscap 命令行实用工具被设计为在本地系统上执行配置和漏洞扫描,验证安全合规性内容,以及生成基于这些扫描与评估的报告和指南。
如果您需要远程在多个系统上执行自动化合规审核,您可以利用 OpenSCAP 红帽卫星解决方案。欲了解更多信息,请参阅〈第 6.5 节 “在红帽 Satellite 上使用 OpenSCAP”〉 及 〈第 6.7 节 “附加资源”〉。

注意

需要注意的是红帽公司不随红帽企业版 Linux 7 分发提供任何默认的合规策略。原因在〈第 6.2 节 “典型的合规策略”〉中有解释。