Menu Close
Settings Close

Language and Page Formatting Options

第 8 章 扫描系统以了解配置合规性和漏洞

合规审计是一个确定给定对象是否遵循合规策略中指定的所有规则的流程。合规策略由安全专业人员定义的,他们通常以检查清单的形式指定计算环境应使用的必要设置。

跨组织甚至同一组织内不同系统之间的合规政策可能有很大差异。这些政策之间的差异取决于每个系统的用途及其对组织的重要性。自定义软件设置和部署特征也需要自定义策略检查表。

8.1. RHEL 中的配置合规工具

Red Hat Enterprise Linux 提供了可让您执行完全自动化的合规审核的工具。这些工具基于安全内容自动化协议(SCAP)标准,专为自动定制合规策略而设计。

  • SCAP Workbench - scap-workbench 图形工具旨在对单个本地或远程系统执行配置和漏洞扫描。您还可以根据这些扫描和评估,使用它来生成安全报告。
  • OpenSCAP - OpenSCAP 库以及附带的 oscap 命令行工具,旨在对本地系统执行配置和漏洞扫描,验证配置合规性内容,并根据这些扫描和评估生成报告和指南。
  • SCAP 安全指南(SSG) - scap-security-guide 软件包为 Linux 系统提供了最新的安全策略集合。该指南包括一个实用强化建议目录,在适用的情况下与政府的要求相关联。该项目弥补了一般性政策要求和具体实施指南间的差距。
  • 脚本检查引擎(SCE) - SCE 是 SCAP 协议的扩展,可供管理员使用脚本语言(如 Bash、Python 和 Ruby)编写安全内容。SCE 扩展在 openscap-engine-sce 软件包中提供。SCE 本身不是 SCAP 标准的一部分。

要在多个系统上远程执行自动合规审计,您可以使用 Red Hat Satellite 的 OpenSCAP 解决方案。