Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.2. 漏洞扫描

8.2.1. 红帽安全公告 OVAL Feed

Red Hat Enterprise Linux 安全审计功能基于安全内容自动化协议(SCAP)标准。SCAP 是一种多用途规格框架,支持自动化配置、漏洞和补丁检查、技术控制合规性活动和安全衡量。
SCAP 规范创建一个生态系统,其中安全内容的格式是众所周知的且标准化的,尽管扫描程序或策略编辑器的实现并不是强制性的。这使得组织能够一次性构建它们的安全策略(SCAP 内容),无论他们使用了多少家安全供应商。
开放式漏洞评估语言(OVAL)是 SCAP 最基本、最古老的组件。与其他工具和自定义脚本不同,OVAL 以声明式方法描述资源的必需状态。OVAL 代码从不直接执行,而是使用称为扫描器的 OVAL 解释器工具。OVAL 的声明性质可确保评估的系统状态不会被意外修改。
与所有其他 SCAP 组件一样,OVAL 也是基于 XML。SCAP 标准定义了多个文档格式。每一个都包括一种不同的信息,用于不同的目的。
红帽产品安全团队 通过跟踪和调查影响红帽客户的所有安全问题,帮助客户评估和管理风险。它在红帽客户门户网站中提供及时、简洁的补丁和安全公告。红帽创建和支持 OVAL 补丁定义,提供机器可读的安全公告版本。
由于平台、版本和其他因素之间的差异,红帽产品安全团队的严重性评级 不会直接与第三方提供的通用漏洞评分系统(CVSS)基准评级一致。因此,我们建议您使用 RHSA OVAL 定义,而不是第三方提供的定义。
RHSA OVAL 定义 单独提供,并作为一个完整的软件包提供,并在红帽客户门户网站上提供新安全公告的一小时内进行更新。
每个 OVAL 补丁定义将一对一映射到红帽安全公告(RHSA)。由于 RHSA 可以包含对多个漏洞的修复,因此每个漏洞都通过其通用漏洞和风险(CVE)名称单独列出,并在我们的公共 bug 数据库中有一个指向其条目的链接。
RHSA OVAL 定义旨在检查系统上安装的 RPM 软件包是否存易受攻击的版本。可以扩展这些定义以包括进一步的检查,例如,查找软件包是否在易受攻击的配置中被使用。这些定义旨在涵盖红帽提供的软件和更新。需要其他定义来检测第三方软件的补丁状态。
注意
要扫描容器或容器镜像以了解安全漏洞,请参阅 第 8.9 节 “扫描容器和容器镜像中的漏洞”

8.2.2. 扫描系统是否存在漏洞

oscap命令行实用程序使您能够扫描本地系统,验证配置合规性内容,并根据这些扫描和评估生成报告和指南。此工具充当 OpenSCAP 库的前端,并根据它所处理的 SCAP 内容类型将其功能分组到模块(子命令)。

流程

  1. 安装 openscap-scannerbzip2 软件包:
    ~]# yum install openscap-scanner bzip2
  2. 下载系统的最新 RHSA OVAL 定义,例如:
    ~]# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml
  3. 扫描系统漏洞并将结果保存到 vulnerability.html 文件中:
    ~]# oscap oval eval --report vulnerability.html rhel-7.oval.xml

验证

  1. 在您选择的浏览器中检查结果,例如:
    ~]$ firefox vulnerability.html &
注意
CVE OVAL 检查会搜索漏洞。因此,结果"True"意味着系统存在安全漏洞,而 "False" 表示扫描找不到任何漏洞。在 HTML 报告中,这可以通过结果行的颜色进一步区分。

其它资源

8.2.3. 扫描远程系统中的漏洞

您还可以使用通过 SSH 协议的 oscap-ssh 工具,使用 OpenSCAP 扫描程序来检查远程系统的漏洞。

先决条件

  • openscap-scanner 软件包安装在远程系统上。
  • SSH 服务器在远程系统上运行。

流程

  1. 安装 openscap-utilsbzip2 软件包:
    ~]# yum install openscap-utils bzip2
  2. 下载系统的最新 RHSA OVAL 定义:
    ~]# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml
  3. 扫描 SSH 在端口 22 上运行、用户名为 joesec、主机名为 machine1 的远程系统上的漏洞,并将结果保存到 remote-vulnerability.html 文件中:
    ~]# oscap-ssh joesec@machine1 22 oval eval --report remote-vulnerability.html rhel-7.oval.xml

其它资源