第 6 章 扫描系统的配置合规性和漏洞。

合规性审计是确定某一对象是否遵循合规性政策中规定的所有规则的过程。合规性策略是由安全专业人员定义的,他们规定了计算环境应该使用的所需设置,通常以检查表的形式出现。

各个组织之间,甚至同一组织内的不同系统之间,合规政策可能有很大的不同。这些政策之间的差异是基于每个系统的目的及其对组织的重要性。自定义软件设置和部署特点也提出了对自定义策略检查表的需求。

6.1. RHEL中的配置合规性工具

Red Hat Enterprise Linux 提供的工具可以让你执行完全自动化的合规性审计。这些工具基于安全内容自动化协议(SCAP)标准,旨在自动调整合规政策。

  • SCAP Workbench-scap-workbench图形化实用程序设计用于在单个本地或远程系统上执行配置和漏洞扫描。你也可以用它来生成基于这些扫描和评估的安全报告。
  • OpenSCAP-OpenSCAP库,以及配套的oscap命令行实用程序,旨在对本地系统进行配置和漏洞扫描,验证配置合规性内容,并根据这些扫描和评估生成报告和指南。
  • SCAP安全指南(SSG)--scap-security-guide软件包提供了最新的Linux系统安全策略集合。该指南包括一个实用的硬化建议目录,并在适用的情况下与政府要求挂钩。该项目弥补了一般化的政策要求和具体实施准则之间的差距。
  • 脚本检查引擎(SCE)--SCE是SCAP协议的扩展,使管理员能够使用脚本语言(如Bash、Python和Ruby)编写安全内容。SCE扩展在openscap-engine-sce包中提供。SCE本身不是SCAP标准的一部分。

要在多个系统上远程执行自动合规性审计,您可以使用 Red Hat Satellite 的 OpenSCAP 解决方案。

其它资源

  • oscap(8)-oscap命令行实用程序的手册页面提供了一个完整的可用选项列表和它们的用法说明。
  • 红帽安全演示。创建自定义的安全策略内容,以实现安全合规性的自动化--这是一个实践性的实验室,可以获得使用Red Hat Enterprise Linux中包含的工具来实现安全合规性自动化的初步经验,以符合行业标准安全策略和自定义安全策略。如果你想为你的团队提供培训或访问这些实验室练习,请联系你的Red Hat客户团队以获得更多的细节。
  • 红帽安全演示。用RHEL安全技术来保护自己 - 这是一个实践性的实验室,让你了解如何在你的RHEL系统的各个层面上实施安全,使用Red Hat Enterprise Linux中的关键安全技术,包括OpenSCAP。如果你想为你的团队提供培训或访问这些实验室练习,请联系你的Red Hat客户团队以获得更多的细节。
  • scap-workbench(8)-SCAP Workbench应用程序的手册页面提供了有关该应用程序的基本信息以及一些指向SCAP内容潜在来源的链接。
  • scap-security-guide(8)-scap-security-guide项目的手册页面提供了关于各种可用的SCAP安全配置文件的进一步文档。此外,还提供了如何使用OpenSCAP实用程序来使用所提供的基准的例子。
  • 有关使用 Red Hat Satellite 的 OpenSCAP 的更多详情,请参阅《管理 Red Hat Satellite 指南》中的安全合规性管理

6.2. 漏洞扫描

6.2.1. 红帽安全公告 OVAL feed

Red Hat Enterprise Linux的安全审计功能是基于安全内容自动化协议(SCAP)标准的。SCAP是一个多用途的规范框架,支持自动配置、漏洞和补丁检查、技术控制合规性活动和安全测量。

SCAP规范创建了一个生态系统,其中安全内容的格式是众所周知的,并且是标准化的,尽管扫描仪或策略编辑器的实施不是强制性的。这使得组织能够一次性建立他们的安全策略(SCAP内容),无论他们采用多少个安全供应商。

开放式脆弱性评估语言(OVAL)是SCAP的基本和最古老的组成部分。与其他工具和自定义脚本不同,OVAL以声明的方式描述资源的所需状态。OVAL代码从不直接执行,而是使用名为scanner的OVAL解释器工具。OVAL的声明性保证了被评估系统的状态不会被意外修改。

像所有其他SCAP组件一样,OVAL是基于XML的。SCAP标准定义了几种文件格式。每一种信息都包括不同的种类,有不同的作用。

红帽产品安全通过跟踪和调查所有影响红帽客户的安全问题,帮助客户评估和管理风险。它在Red Hat客户门户上提供了及时和简洁的补丁和安全建议。红帽公司创建并支持 OVAL 补丁定义,为我们的安全顾问提供机器可读版本。

由于平台、版本和其他因素的差异,红帽产品安全对漏洞的定性严重性评级与第三方提供的通用漏洞评分系统(CVSS)基线评级并不直接一致。因此,我们建议您使用RHSA OVAL定义,而不是第三方提供的定义。

RHSA OVAL定义可以单独使用,也可以作为一个完整的软件包使用,并且在Red Hat客户门户上发布新的安全公告后一小时内更新。

每个 OVAL 补丁定义都会一对一地映射到红帽安全咨询(RHSA)。因为一个RHSA可以包含多个漏洞的修复,每个漏洞都会以其常见漏洞和暴露(CVE)的名称单独列出,并有一个链接到我们的公共错误数据库中的条目。

RHSA OVAL定义的目的是检查系统上安装的RPM包的脆弱版本。可以将这些定义扩展到包括进一步的检查,例如,找出包是否被用于易受攻击的配置中。这些定义是为了涵盖Red Hat所提供的软件和更新而设计的。检测第三方软件的补丁状态需要额外的定义。

注意

要扫描容器或容器映像是否存在安全漏洞,请参见扫描容器和容器映像是否存在漏洞

6.2.2. 扫描系统的漏洞

oscap命令行实用程序使您能够扫描本地系统,验证配置合规性内容,并根据这些扫描和评估生成报告和指南。该实用程序作为OpenSCAP库的前端,并根据其处理的SCAP内容类型将其功能分组为模块(子命令)。

先决条件

  • AppStream存储库已启用。

流程

  1. 安装openscap-scannerbzip2包。

    # yum install openscap-scanner bzip2
  2. 为您的系统下载最新的RHSA OVAL定义。

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml
  3. 扫描系统的漏洞,并将结果保存到漏洞.html文件中。

    # oscap oval eval --report vulnerability.html rhel-8.oval.xml

验证步骤

  1. 例如,在你选择的浏览器中检查结果。

    $ firefox vulnerability.html &

其它资源

6.2.3. 扫描远程系统的漏洞

你也可以通过SSH协议使用oscap-ssh工具用OpenSCAP扫描器检查远程系统的漏洞。

先决条件

  • AppStream存储库已启用。
  • 远程系统上安装了openscap-scanner软件包。
  • SSH服务器正在远程系统上运行。

流程

  1. 安装openscap-utilsbzip2包。

    # yum install openscap-utils bzip2
  2. 为您的系统下载最新的RHSA OVAL定义。

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml
  3. machine1主机名、SSH运行在22端口、joesec用户名扫描远程系统的漏洞,并将结果保存到远程漏洞.html文件中。

    # oscap-ssh joesec@machine1 22 oval eval --report remote-vulnerability.html rhel-8.oval.xml

其它资源

6.3. 配置合规性扫描

6.3.1. RHEL 8中的配置合规性

您可以使用配置合规性扫描来符合特定组织定义的基线。例如,如果你与美国政府合作,你可能需要遵守操作系统保护规范(OSPP),如果你是支付处理器,你可能需要遵守支付卡行业数据安全标准(PCI-DSS)。您还可以执行配置合规性扫描,以加强系统安全。

Red Hat 建议你遵循 SCAP 安全指南包中提供的安全内容自动化协议(SCAP)内容,因为它符合 Red Hat 对受影响组件的最佳实践。

SCAP安全指南包提供了符合SCAP 1.2和SCAP 1.3标准的内容。openscap 扫描器实用程序与SCAP安全指南包中提供的SCAP 1.2和SCAP 1.3内容兼容。

重要

执行配置合规性扫描并不能保证系统的合规性。

SCAP安全指南套件以数据流文件的形式为多个平台提供了配置文件。数据流是一个包含定义、基准、配置文件和个别规则的文件。每条规则都具体规定了适用性和遵守要求。RHEL 8提供了几个配置文件以符合安全策略。除了行业标准外,红帽数据流还包含对失败规则的补救信息。

合规扫描资源的结构

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |                ├──rule
   |                    ├── xccdf
   |                         ├── oval reference
   ├── oval                  ├── ocil reference
   ├── ocil                  ├── cpe reference
   └── cpe                   └── remediation

配置文件是基于安全策略的一组规则,如操作系统保护配置文件(OSPP)或支付卡行业数据安全标准(PCI-DSS)。这使您能够以自动方式审计系统是否符合安全标准。

您可以修改(定制)配置文件,以自定义某些规则,例如,密码长度。有关配置文件定制的更多信息,请参阅使用SCAP Workbench定制安全配置文件

注意

要扫描容器或容器映像以了解配置合规性,请参见扫描容器和容器映像以了解漏洞。

6.3.2. OpenSCAP扫描的可能结果

根据您系统的各种属性以及应用于OpenSCAP扫描的数据流和配置文件,每个规则都可能产生特定的结果。这是一份可能的结果清单,并对其含义作了简要解释。

表 6.1. OpenSCAP扫描的可能结果

结果解释

通行证

扫描没有发现与此规则有任何冲突。

失败

扫描发现与此规则有冲突。

未检查

OpenSCAP不对该规则进行自动评估。手动检查系统是否符合此规则。

不适用

此规则不适用于当前配置。

未选择

这条规则不是档案的一部分。OpenSCAP不评估此规则,也不在结果中显示这些规则。

错误

扫描遇到了一个错误。要了解更多的信息,你可以用--verbose DEVEL选项输入oscap命令。考虑打开一个错误报告

未知

扫描时遇到了意外情况。要了解更多的信息,可以输入带`--verbose DEVEL选项的oscap命令。考虑打开一个错误报告

6.3.3. 查看配置合规性的配置文件

在您决定使用配置文件进行扫描或修复之前,您可以使用oscap info子命令列出它们并检查它们的详细说明。

先决条件

  • 安装openscap-scannerscap-security-guide软件包。

流程

  1. 列出SCAP安全指南项目提供的具有安全合规性的所有可用文件。

    $ ls /usr/share/xml/scap/ssg/content/
    ssg-firefox-cpe-dictionary.xml  ssg-rhel6-ocil.xml
    ssg-firefox-cpe-oval.xml        ssg-rhel6-oval.xml
    ...
    ssg-rhel6-ds-1.2.xml          ssg-rhel8-oval.xml
    ssg-rhel8-ds.xml              ssg-rhel8-xccdf.xml
    ...
  2. 使用oscap info子命令显示所选数据流的详细信息。包含数据流的XML文件在其名称中用-ds字符串表示。在"配置文件"部分,您可以找到可用的配置文件及其ID的列表。

    $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
    ...
    Profiles:
      Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8
        Id: xccdf_org.ssgproject.content_profile_pci-dss
      Title: OSPP - Protection Profile for General Purpose Operating Systems
        Id: xccdf_org.ssgproject.content_profile_ospp
    ...
  3. 从数据流文件中选择一个配置文件,并显示所选配置文件的其他详细信息。要做到这一点,请使用oscap info--profile选项,后面跟着上一条命令输出中显示的 ID 的最后一部分。例如,PCI-DSS配置文件的ID是:xccdf_org.ssgproject.content_profile_pci-dss,而--profile选项的值是pci-dss

    $ oscap info --profile pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
    ...
    Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8
    Id: xccdf_org.ssgproject.content_profile_pci-dss
    
    Description: Ensures PCI-DSS v3.2.1 security configuration settings are applied.
    ...

其它资源

  • Scap-security-guide(8)man page.

6.3.4. 评估配置是否符合特定基线

要确定您的系统是否符合特定的基线,请遵循这些步骤。

先决条件

流程

  1. 评估系统是否符合选定的配置文件,并将扫描结果保存在 report.html HTML 文件中,例如。

    $ sudo oscap xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
  2. 可选。使用machine1主机名、SSH22 端口和joesec用户名扫描远程系统,以确定是否符合要求,并将结果保存到remote-report.html文件中。

    $ oscap-ssh joesec@machine1 22 xccdf eval --report remote_report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源

6.4. 对系统进行补救,使之与特定的基线保持一致。

使用此程序修复RHEL 8系统,使其与特定基线保持一致。本例使用通用操作系统的保护配置文件(OSPP)。

警告

如果不谨慎使用,在启用"补救"选项的情况下运行系统评估可能会使系统无法运行。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统中。

流程

  1. 使用带有 --remediate 选项的 oscap 命令:

    $ sudo oscap xccdf eval --profile ospp --remediate /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
  2. 重新启动系统。

验证步骤

  1. 评估系统是否符合OSPP配置文件,并将扫描结果保存在ospp_report.html文件中。

    $ oscap xccdf eval --report ospp_report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml。

其它资源

  • scap-security-guide(8)oscap(8)手册页面

6.5. 使用SSG Ansible游戏手册对系统进行修复,使其与特定基线保持一致。

使用此步骤,使用SCAP安全指南项目中的Ansible剧本文件,用特定的基线对系统进行修复。本例使用通用操作系统的保护配置文件(OSPP)。

警告

如果不谨慎使用,在启用"补救"选项的情况下运行系统评估可能会使系统无法运行。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统中。
  • 安装了ansible软件包。请参阅《Ansible安装指南》了解更多信息。

流程

  1. 使用Ansible修复您的系统以与OSPP保持一致。

    # ansible-playbook -i localhost, -c local /usr/share/scap-security-guide/ansible/rhel8-playbook-ospp.yml
  2. 重新启动系统。

验证步骤

  1. 评估系统是否符合OSPP配置文件,并将扫描结果保存在ospp_report.html文件中。

    # oscap xccdf eval --profile ospp --report ospp_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源

6.6. 创建一个补救Ansible游戏手册,使系统与特定的基线保持一致。

使用此过程创建 Ansible 播放簿,其中仅包含将系统与特定基线对齐所需的补救措施。本例使用通用操作系统的保护配置文件(OSPP)。通过这个程序,你可以创建一个较小的剧本,不涵盖已经满足的要求。按照这些步骤,你不会以任何方式修改你的系统,你只是为以后的应用准备一个文件。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统中。

流程

  1. 扫描系统并保存结果。

    # oscap xccdf eval --profile ospp --results ospp-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
  2. 根据上一步生成的文件生成Ansible playbook。

    # oscap xccdf generate fix --fix-type ansible --output ospp-remediations.yml ospp-results.xml
  3. ospp-remediations.yml文件包含了针对在步骤1中执行的扫描中失败的规则的Ansible补救措施。查看完这个生成的文件后,可以用ansible-playbook ospp-remediations.yml命令进行应用。

验证步骤

  1. 在您选择的文本编辑器中,检查ospp-remediations.yml文件是否包含在步骤 1 中执行的扫描中失败的规则。

其它资源

6.7. 为以后的应用创建一个修复的Bash脚本。

使用此过程创建一个包含补救措施的 Bash 脚本,使您的系统与 PCI-DSS 等安全配置文件保持一致。使用下面的步骤,你不会对系统进行任何修改,你只是为以后的应用准备一个文件。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统中。

流程

  1. 使用oscap命令扫描系统并将结果保存到XML文件中。在下面的例子中,oscap根据pci-dss配置文件评估系统。

    # oscap xccdf eval --profile pci-dss --results pci-dss-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
  2. 根据上一步生成的结果文件生成一个Bash脚本。

    # oscap xccdf generate fix --profile pci-dss --fix-type bash --output pci-dss-remediations.sh pci-dss-results.xml
  3. pci-dss-remediations.sh文件包含在步骤 1 中执行的扫描期间失败的规则的补救措施。审查完这个生成的文件后,当你与这个文件在同一目录下时,可以用./pci-dss-remediations.sh命令来应用它。

验证步骤

  1. 在您选择的文本编辑器中,检查pci-dss-remediations.sh文件包含在步骤 1 中执行的扫描中失败的规则。

其它资源

  • scap-security-guide(8),oscap(8), andbash(1)man pages

6.8. 使用SCAP Workbench使用自定义配置文件扫描系统。

scap-workbench软件包中包含的SCAP Workbench是一个图形化的实用程序,用户可以在单个本地或远程系统上进行配置和漏洞扫描,对系统进行修复,并根据扫描评估结果生成报告。请注意,SCAP Workbenchoscap命令行工具相比,功能有限。SCAP Workbench以数据流文件的形式处理安全内容。

6.8.1. 使用SCAP Workbench扫描和修复系统。

要根据选定的安全策略评估系统,请使用以下步骤。

先决条件

  • scap-workbench 软件包已经安装在您的系统中。

流程

  1. 要从GNOME经典桌面环境中运行SCAP工作台,按超级键进入"活动概览",输入scap-workbench,然后按Enter键。或者,使用:

    $ scap-workbench &
  2. 使用以下任一选项选择安全策略。

    • 加载内容按钮在启动窗口上
    • 打开SCAP安全指南的内容
    • File 中打开 Other Content,搜索相关的 XCCDF、SCAP RPM 或数据流文件。

      工作台启动
  3. 您可以通过选择"补救"复选框,允许自动修正系统配置。启用该选项后,SCAP Workbench会根据策略应用的安全规则尝试更改系统配置。这个过程应该会修复系统扫描过程中失败的相关检查。

    警告

    如果不谨慎使用,在启用"补救"选项的情况下运行系统评估可能会使系统无法运行。红帽不提供任何自动的方法来恢复由安全补救机制所做的更改。默认配置的 RHEL 系统支持自动安全补救功能。如果在安装后更改了您的系统,运行补救可能无法使其与所需安全配置兼容。

  4. 单击"扫描"按钮,用选定的配置文件扫描系统。

    Scap 工作台结果
  5. 要以 XCCDF、ARF 或 HTML 文件的形式存储扫描结果,请单击保存结果组合框。选择"HTML报告"选项,以人类可读的格式生成扫描报告。XCCDF和ARF(数据流)格式适用于进一步的自动处理。你可以反复选择这三个选项。
  6. 要将基于结果的补救措施导出到文件,请使用"生成补救措施"弹出式菜单。

6.8.2. 使用SCAP Workbench定制安全配置文件。

您可以通过更改某些规则中的参数(例如,最小密码长度)、删除以不同方式覆盖的规则以及选择附加规则来定制安全配置文件,以执行内部策略。您不能通过自定义配置文件来定义新规则。

下面的程序演示了如何使用SCAP Workbench来定制(定制)配置文件。您也可以保存定制的配置文件,以便使用oscap命令行工具。

先决条件

  • scap-workbench 软件包已经安装在您的系统中。

流程

  1. 运行SCAP Workbench,并通过使用"文件"菜单中的"从SCAP安全指南中打开内容"或"打开其他内容"来选择要定制的配置文件。
  2. 要根据您的需求调整所选的安全配置文件,请单击"自定义"按钮。

    这将打开新的"自定义"窗口,使您能够在不改变原始数据流文件的情况下修改当前选定的配置文件。选择一个新的配置文件ID。

    选择您的新资料的ID
  3. 使用将规则组织成逻辑组的树形结构或搜索字段找到要修改的规则。
  4. 在树结构中使用复选框包含或排除规则,或在适用的情况下修改规则中的值。

    自定义OSPP配置文件中的规则
  5. 点击"确定"按钮,确认更改。
  6. 要永久保存您的更改,请使用以下选项之一。

    • 通过使用"文件"菜单中的"仅保存自定义"单独保存自定义文件。
    • 通过"文件"菜单中的"全部保存"一次性保存所有安全内容。

      如果选择Into a directory选项,SCAP Workbench会将数据流文件和自定义文件都保存到指定的位置。你可以把它作为一个备份方案。

      通过选择As RPM选项,你可以指示SCAP Workbench创建一个包含数据流文件和自定义文件的RPM包。这对于将安全内容分发到无法远程扫描的系统,以及将内容交付给进一步处理是很有用的。

注意

由于SCAP 工作台不支持基于结果的定制配置文件补救措施,因此使用oscap命令行工具导出补救措施。

6.9. 安装后立即部署符合安全配置文件的系统。

您可以在安装过程后立即使用OpenSCAP套件部署符合安全配置文件(如OSPP或PCI-DSS)的RHEL系统。使用这种部署方法,您可以应用以后无法使用补救脚本应用的特定规则,例如,密码强度和分区的规则。

6.9.1. 使用图形安装部署基本兼容 RHEL 系统

使用此流程部署与特定基准兼容的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

  • 您已引导到 图形化 安装程序。请注意: OSCAP Anaconda 插件不只支持文本安装。
  • 您已访问 安装概述 窗口。

流程

  1. 安装概述 窗口中点击 软件选择。此时会打开 软件选择窗口。
  2. Base Environment 窗格中选择 服务器 环境。您只能选择一个基本环境。

    警告

    如果要部署兼容的系统,请不要使用 Server with GUI 基础环境的服务器。作为 SCAP Security Guide 的一部分提供的安全配置集可能与 Server with GUI 的扩展软件包不兼容。如需更多信息,请参阅 BZ#1648162BZ#1787156BZ#1816199

  3. 点击 完成 应用设置并返回 安装概述 窗口。
  4. 点击 安全策略。此时会打开 Security Policy 窗口。
  5. 要在系统中启用安全策略,将Apply security policy 切换为 ON
  6. 从配置集栏中选择 Protection Profile for General Purpose Operating Systems.
  7. Select Profile 来确认选择。
  8. 确认在窗口底部显示 Changes that were done or need to be done。完成所有剩余的手动更改。
  9. 因为 OSPP 有必须满足的严格的分区要求,所以可以为 /boot/home/var/var/log/var/tmp/var/log/audit 创建单独的分区。
  10. 完成图形安装过程。

    注意

    图形安装程序在安装成功后自动创建对应的 Kickstart 文件。您可以使用 /root/anaconda-ks.cfg 文件自动安装兼容 OSPP 的系统。

验证步骤

  1. 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源

6.9.2. 使用 Kickstart 部署符合基线的 RHEL 系统。

使用此步骤部署与特定基线一致的 RHEL 系统。这个示例为常规目的操作系统(OSPP)使用保护配置集。

先决条件

  • scap-security-guide 软件包安装在 RHEL 8 系统中。

流程

  1. 在你选择的编辑器中打开/usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfgKickstart文件。
  2. 更新分区方案以符合您的配置要求。要满足 OSPP 合规性,需要保留 /boot, /home, /var, /var/log, /var/tmp/var/log/audit 的独立分区。 您只能更改分区大小。

    警告

    因为 OSCAP Anaconda Addon 插件不支持只使用文本安装,不要在 Kickstart 文件中使用 text 选项。.如需更多信息,请参阅 RHBZ#1674001

  3. 按照使用 Kickstart 执行自动安装中的描述,启动 Kickstart 安装。
重要

使用哈希格式的密码无法检测 OSPP 要求。

验证步骤

  1. 要在安装完成后检查系统当前的状态,请重启系统并启动新的扫描:

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

其它资源

6.10. 扫描容器和容器映像,寻找漏洞

使用此程序查找容器或容器映像中的安全漏洞。

注意

oscap-podman 命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8

先决条件

  • openscap-utils 包已经安装完毕。

流程

  1. 为您的系统下载最新的RHSA OVAL定义。

    # wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml
  2. 例如,获取一个容器或容器图像的ID。

    # podman images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi8/ubi   latest   096cae65a207   7 weeks ago   239 MB
  3. 扫描容器或容器映像是否存在漏洞,并将结果保存到漏洞.html文件中。

    # oscap-podman 096cae65a207 oval eval --report vulnerability.html rhel-8.oval.xml

    请注意,oscap-podman命令需要root权限,容器的ID是第一个参数。

验证步骤

  1. 例如,在你选择的浏览器中检查结果。

    $ firefox vulnerability.html &

其它资源

  • 更多信息,请参见oscap-podman(8)oscap(8)man 页面。

6.11. 用特定的基线评估容器或容器图像的安全合规性。

按照这些步骤评估您的容器或容器映像是否符合特定的安全基线,如操作系统保护配置文件 (OSPP) 或支付卡行业数据安全标准 (PCI-DSS)。

注意

oscap-podman 命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8

先决条件

  • 安装openscap-utilsscap-security-guide软件包。

流程

  1. 例如,获取一个容器或容器图像的ID。

    # podman images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi8/ubi   latest   096cae65a207   7 weeks ago   239 MB
  2. 评估容器映像是否符合 OSPP 配置文件,并将扫描结果保存到report.htmlHTML 文件中。

    # oscap-podman 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml。

    如果您使用 PCI-DSS 基准评估安全合规性,将 096cae65a207 替换为您的容器镜像 ID,将 ospp 值替换为 pci-dss。请注意,oscap-podman命令需要root权限。

验证步骤

  1. 例如,在你选择的浏览器中检查结果。

    $ firefox report.html &
注意

标记为不适用的规则是不适用于容器化系统的规则。这些规则只适用于裸机和虚拟化系统。

其它资源

6.12. RHEL中SCAP安全指南的支持版本

SCAP安全指南的官方支持版本是在RHEL的相关次要版本或RHEL的相关批量更新中提供的版本。

表 6.2. RHEL中SCAP安全指南的支持版本

Red Hat Enterprise Linux版本SCAP安全指南版本

RHEL 6.6

scap-security-guide-0.1.18-3.el6

RHEL 6.9

scap-security-guide-0.1.28-3.el6

RHEL 6.10

scap-security-guide-0.1.28-4.el6

RHEL 7.2 AUS

scap-security-guide-0.1.25-3.el7

RHEL 7.3 AUS

scap-security-guide-0.1.30-5.el7_3

RHEL 7.4 AUS, E4S。

scap-security-guide-0.1.33-6.el7_4

RHEL 7.5 (批量更新)

scap-security-guide-0.1.36-10.el7_5

RHEL 7.6 EUS

scap-security-guide-0.1.40-13.el7_6

RHEL 7.7 EUS

scap-security-guide-0.1.43-13.el7

RHEL 7.8 (批量更新)

scap-security-guide-0.1.46-11.el7

RHEL 7.9

scap-security-guide-0.1.52-2.el7_9

RHEL 8.0 SAP

scap-security-guide-0.1.42-11.el8

RHEL 8.1 EUS

scap-security-guide-0.1.47-8.el8_1

RHEL 8.2 (批量更新)

scap-security-guide-0.1.48-10.el8_2

RHEL 8.3

scap-security-guide-0.1.50-16.el8_3

6.13. RHEL 8中支持的SCAP安全指南配置文件

只使用RHEL特定小版本中提供的SCAP内容。这是因为参与加固的组件有时会更新新的功能。SCAP的内容会改变以反映这些更新,但它并不总是向后兼容。

在下面的表格中,您可以找到RHEL的每个次要版本中提供的配置文件,以及与该配置文件一致的策略版本。

表 6.3. RHEL 8.3中支持的SCAP安全指南配置文件

资料名称资料ID政策版本

CIS Red Hat Enterprise Linux 8基准

xccdf_org.ssgproject.content_profile_cis

1.0.0

非联邦信息系统和组织中的非机密信息(NIST 800-171)

xccdf_org.ssgproject.content_profile_cui

r1

澳大利亚网络安全中心(ACSC)的基本八大要素

xccdf_org.ssgproject.content_profile_e8

没有版本

健康保险便携性和责任性法案(HIPAA)。

xccdf_org.ssgproject.content_profile_hipaa

没有版本

通用操作系统的保护简介

xccdf_org.ssgproject.content_profile_ospp

4.2.1

PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8

xccdf_org.ssgproject.content_profile_pci-dss

3.2.1

[草稿]《国防信息系统局红帽企业Linux 8安全技术实施指南》(DISA STIG)

xccdf_org.ssgproject.content_profile_stig

草拟

表 6.4. RHEL 8.2中支持的SCAP安全指南配置文件

资料名称资料ID政策版本

澳大利亚网络安全中心(ACSC)的基本八大要素

xccdf_org.ssgproject.content_profile_e8

没有版本

通用操作系统的保护简介

xccdf_org.ssgproject.content_profile_ospp

4.2.1

PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8

xccdf_org.ssgproject.content_profile_pci-dss

3.2.1

[DRAFT] 红帽企业Linux 8的DISA STIG。

xccdf_org.ssgproject.content_profile_stig

草拟

表 6.5. RHEL 8.1中支持的SCAP安全指南配置文件

资料名称资料ID政策版本

通用操作系统的保护简介

xccdf_org.ssgproject.content_profile_ospp

4.2.1

PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8

xccdf_org.ssgproject.content_profile_pci-dss

3.2.1

表 6.6. RHEL 8.0中支持的SCAP安全指南配置文件

资料名称资料ID政策版本

OSPP--通用操作系统的保护配置文件

xccdf_org.ssgproject.content_profile_ospp

草拟

PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 8

xccdf_org.ssgproject.content_profile_pci-dss

3.2.1

其它资源


为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。