6.6. 应用实例

这一部分展示了为红帽产品提供的某个安全内容的实际使用情况。

6.6.1. 红帽产品的审计安全漏洞

红帽会为其产品提供持续不断的 OVAL 定义。这些定义允许在已安装的软件中开启漏洞完全自动化审计。要了解项目的更多信息,请查阅 http://www.redhat.com/security/data/metrics/。要下载这些定义,请运行以下命令:
~]$ wget http://www.redhat.com/security/data/oval/com.redhat.rhsa-all.xml
红帽 Satellite 5的用户可能会发现补丁定义中有帮助的 XCCDF 部分。要下载这些定义,请运行以下命令:
~]$ wget http://www.redhat.com/security/data/metrics/com.redhat.rhsa-all.xccdf.xml
要审核系统中已安装软件的安全漏洞,请运行以下命令:
~]$ oscap oval eval --results rhsa-results-oval.xml --report oval-report.html com.redhat.rhsa-all.xml
oscap 工具将Red Hat Security Advisories 映射到了 CVE 标识符中,这些标识符与国家漏洞数据库相连,且会报告哪些安全公告没有被应用到系统中。

注意

需要注意的是,这些 OVAL 定义被设计为仅用于涉及红帽所发布的软件和更新之中。您需要提供额外的定义以便能及时检测第三方软件的补丁状态。

6.6.2. 使用 SCAP 安全指南审核系统设置

SCAP 安全策略 (SSG) 项目软件包, scap-security-guide,包含了 Linux 系统最新的安全策略设置。请参阅 SSG project 页面了解如何在您的系统中部署该软件包。部分 scap-security-guide 也可以为红帽企业版 Linux 7的设置提供指导。要检查 scap-security-guide 中存在的安全内容,请使用 oscap info 模块:
~]$ oscap info /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml
这个命令输出的是 SSG 文档的一个概述,它包含了可用的配置文件。要对您的系统设置进行审核,请选择一个合适的配置文件,并运行恰当的评估命令。例如,针对草拟的配置文件,下面的命令为经过认证的红帽云供应商对给定的系统进行评估:
~]$ oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_rht-ccp --results ssg-rhel7-xccdf-result.xml --report ssg-rhel7-report.html /usr/share/xml/scap/ssg/rhel7/ssg-rhel7-ds.xml