6.3. 使用 SCAP 工作台

SCAP Workbench (scap-workbench) 是一个图形化的工具,它允许用户在本地或远程系统上执行配置和漏洞扫描,实现系统的修复,以及生成基于扫描评估的报告。需要注意的是,与 oscap 命令行实用工具比起来,SCAP 工作台只具备有限的功能。SCAP 工作台也可以处理只以 XCCDF 文件和数据流文件形式存在的安全内容。
以下各节说明如何安装,启动和使用 SCAP 工作台,以便进行系统扫描、修复和自定义扫描,并显示与这些任务相关的例子。

6.3.1. 安装 SCAP 工作台

若要在系统中安装 SCAP 控制台,请以 root 身份运行以下命令:
~]# yum install scap-workbench
该命令安装所有保证 SCAP 工作台能够正常工作的软件包,包括 scap-workbench 软件包提供的工具本身。需要注意的是,所需的依赖项,例如 qtopenssh 软件包,如果已经安装在您的系统中的话,将会被自动更新到可用的最新版本。
在您可以开始有效率地使用 SCAP 工作台之前,您还需要安装或者导入一些安全内容到您的系统中。您可以从相应的网站下载 SCAP 内容,或者,如果指定 RPM 文件或者安装包的话,您可以使用 Yum 软件包管理器从指定的位置或者资料库进行安装。
例如,您可以安装《SCAP 安全指南》(SSG)包, scap-security-guide, 包含目前 Linux 系统最先进最详尽的安全策略设置。请参阅 SSG 项目 页,了解怎样在系统中部署该软件包的具体步骤。
当您在系统中安装完 scap-security-guide 以后,除非另有指明,否则 SSG 安全内容可以在 /usr/share/xml/scap/ssg/rhel7/ 目录下找到,而且您可以继续进行其他安全合规操作。
为了找到其他可能符合您需求的现有 SCAP 内容来源,请参阅 〈第 6.7 节 “附加资源”〉。

6.3.2. 运行 SCAP 工作台

在成功安装 SCAP 工作台工具和 SCAP 内容以后,您就可以在您的系统中开始使用 SCAP 工作台了。为了从 GNOME 传统桌面环境中使用 SCAP 工作台,请按下 Super 键进入活动概览,输入 scap-workbench,然后按下 EnterSuper 键以各种形式出现,取决于键盘和其他硬件,但往往不是“Windows”键就是“Command”键,而且通常出现在 Spacebar 键的左侧。
一旦您启动该实用程序, SCAP Workbench 窗口就会出现。SCAP 工作台窗口包含许多交互式组件,您应该在开始扫描您的系统之前先熟悉这些组件:
输入文件
该字段包含了所选安全策略的完整路径。您可以通过点击 Browse 按钮搜索您系统中适用于 SCAP 的内容。
清单
该下拉列表框显示的是将被应用于所选安全策略中的清单的名称。如果存在不止一个清单,您可以通过点击此下拉列表框来选择一个特定的清单。
调整
该下拉列表框会通知您给定安全策略的定制情况。您可以通过点击该下拉列表框来选择自定义规则,这些规则将会被应用在系统评估中。默认值是 (no tailoring),这意味着所使用的安全策略将不会有任何改变。如果您对所选的安全配置文件做了任何改动,可以通过点击 Save Tailoring 按钮以 XML 文档的方式保存这些改动内容。
配置文件
该下拉列表框包含所选安全策略配置文件的名称。通过点击该下拉列表框,您可以从给定的 XCCDF 或者数据流文件中筛选出安全配置文件。若要创建一个继承了所选安全策略配置文件属性的新配置文件,请点击 Customize 按钮。
目标
这两个单选按钮允许您选择待评估系统是本地计算机还是远程计算机。
选中的规则
该字段显示的是一系列受安全策略影响的安全规则。将鼠标悬停在某个特定的安全规则上以获取详细信息。
保存内容
该菜单允许您将由 Input file 以及 Tailoring 字段中选出的 SCAP 文件保存到选定的目录或者以 RPM 包的形式保存下来。
状态栏
这是一种图形化的工具条,指示着正在执行的操作状态。
在线修复
该复选框允许在系统评估中开启修复功能。如果您选中该复选框,SCAP 工作台将尝试校正那些无法匹配策略定义状态的系统设置。
扫描
该按钮允许您启动对指定系统的评估。
SCAP 工作台窗口

图 6.1. SCAP 工作台窗口

6.3.3. 扫描系统

SACP 工作台的主要功能是依照给定的 XCCDF 或者数据流文件,在被选中的系统中执行安全扫描。若要评估您的系统有没有违反所选的安全策略,请遵循下列步骤:
  1. 通过点击 Browse 按钮还有寻找相应的 XCCDF 或者数据流文件来选择一项安全策略。

    警告

    选择一项安全策略会导致先前没有保存过的任何调整变更丢失。若要重新应用丢失的设置,您必须选择可用的配置文件并且重新调整内容。需要注意的是,您过去的自定义内容未必适用于新的安全策略。
  2. 如果被选中的 SCAP 文件是一个数据流文件,提供了不止一个清单,您可以通过点击 Checklist 下拉列表框来选择特定的清单。

    警告

    更改清单可能会导致不同配置文件的选择和任何先前的自定义设置并不适用于新的清单。
  3. 如果您已经预先安排了一个针对您的使用案例的自定义安全内容文件,可以通过点击 Tailoring 下拉列表框来加载此文件。您也可以通过变更现有安全配置文件的方式去创建一个自定义调整文件。欲了解更多信息,请参阅 〈第 6.3.4 节 “定制安全配置文件”〉。
    1. 如果您不希望使用任何当前系统评估的自定义设置,请选中 (no tailoring) 选项。如果之前没有任何自定义设置被选中话,该项目即为默认选项。
    2. 选中 (open tailoring file...) 选项来搜索特定的调整文件,这些文件被用于当前的系统评估。
    3. 如果您曾经使用过某个调整文件,SCAP 工作台会记住这个文件并把它添加到列表中。这简化了同一扫描中重复的应用程序。
  4. 通过点击 Profile 下拉列表框来选择一个合适的安全配置文件。
    1. 若需进一步修改所选的配置文件,请点击 Customize 按钮。有关配置文件自定义的详细信息,请参阅 〈第 6.3.4 节 “定制安全配置文件”〉。
  5. 分别在两个 Target 单选按钮中选中一个来扫描本地或者远程计算机。
    1. 如果您选择了远程系统,通过输入用户名、主机名以及端口信息的方式来指定它,如下例所示:
      指定一个远程系统

      图 6.2. 指定一个远程系统

  6. 您可以通过选中 Online remediation 复选框来允许系统设置自动校正。 启用该选项时,如果在系统扫描中相关的检查失败的话,SCAP工作台将会按照策略中所应用的安全规则尝试去改变系统配置。

    警告

    如果使用不谨慎,在修复选项启用的情况下运行系统评估可能会导致系统丧失功能。
  7. 点击 Scan 按钮来启动系统扫描。

6.3.4. 定制安全配置文件

选择好适合您的安全策略的安全配置文件以后,您可以通过点击 Customize 按钮来进一步调整。这将打开一个新的调整窗口,该窗口允许您修改当前选中的 XCCDF 配置文件,而实际上并不用改动各自的 XCCDF 文件。
定制所选的安全配置文件

图 6.3. 定制所选的安全配置文件

Tailoring 窗口包含了一整套与选中的安全配置文件相关的 XCCDF 元素,这些安全配置文件包含了每个元素及其功能的详细信息。您可以通过在该窗口的主要领域选择或者反向选择相应的复选框来打开或者关闭这些元素。该调整窗口还支持 undoredo 功能;您可以通过点击窗口左上角各自的箭头图标来撤销或者重做您的选择。
当您完成您的配置文件定制后,通过点击 Finish Tailoring 按钮来确认这些变更。您所做的变更被保存在内存中,如果 SCAP 工作台被关闭或者产生了某些变化,比如选择了一个新的 SCAP 内容或者另一个调整选项,您所做的变更将不复存在。如果您希望这些变更被储存下来,请点击 SCAP Workbench 窗口中的Save Tailoring 按钮。该操作允许您以一个 XCCDF 调整文件的方式在选中的目录下保存您对安全配置文件所做的变更。需要注意的是该调整文件以后也可以与其他配置文件一起选择。

6.3.5. 保存 SCAP 内容

SCAP 工作台也可以允许您保存被用于您的系统评估中的 SCAP 内容。您既可以分开保存调整文件 (请参阅〈 第 6.3.4 节 “定制安全配置文件”〉) ,也可以通过点击 Save content 下拉列表框,选择 Save into a directory 或者 Save as RPM 选项来一次性保存所有的安全内容。
通过选中 Save into a directory 选项,SCAP 工作台将 XCCDF 或数据流文件和调整文件两者都保存到指定的位置。这可以作为一个有效的备份方案。
通过选中 Save as RPM 选项,您可以令 SCAP 工作台创建一个包含 XCCDF 或数据流文件和调整文件的 RPM 包。这对于分发期望的安全内容到那些无法被远程扫描的系统,或者仅仅是为了实现今后对内容的进一步处理,是非常有用处的。
以 RPM 包的形式保存当前的 SCAP 内容

图 6.4. 以 RPM 包的形式保存当前的 SCAP 内容

6.3.6. 查看扫描结果并生成扫描报告

当系统扫描结束以后,两个新的按钮, ClearReport,会出现并取代 Scan 按钮。

警告

点击 Clear 按钮会永久移除扫描结果。
您可以通过点击 Report 按钮来展示和进一步处理扫描结果,该操作会打开 Evaluation Report 窗口。此窗口包含 Save 下拉列表框,还有两个按钮, Open in Browser,和 Close
您可以通过点击 Save 下拉列表框来以 XCCDF、ARF 或者 HTML 文件的形式来保存扫描结果。选中 HTML Report 选项来生成可读的扫描报告。XCCDF 和 ARF(数据流)格式适合进一步地自动化处理。您可以反复去选择这三个选项。
如果您喜欢便能立即查看而不保存扫描报告,您可以点击 Open in Browser 按钮,这将以一个临时的 HTML 文件默认的网络浏览器中打开这些扫描报告。