Red Hat Training

A Red Hat training course is available for Red Hat Satellite

章 6. OpenSCAP

SCAP 是個用於企業級 Linux 設備的標準化規範檢查解決方案。此規格乃透過 National Institute of Standards and Technology(NIST)所維護,用於維護企業系統的系統安全性。
在 RHN Satellite Server 5.5 中,SCAP 是由 OpenSCAP 應用程式所實作。OpenSCAP 是個利用了可擴展的配置檢查清單描述格式(Extensible Configuration Checklist Description Format,XCCDF)的稽核工具。XCCDF 是個顯示檢查清單內容,以及定義安全性檢查清單的標準方式。它同時也能與其它規格合併,例如 CPE、CCE 以及 OVAL,以建立能由 SCAP 驗證的產品處理的 SCAP-expressed 檢查清單。

6.1. OpenSCAP 功能

OpenSCAP 會藉由使用 Red Hat Security Response Team(SRT)所產生的內容來驗證升級檔的存在性,檢查系統安全性配置設定,並透過使用基於規則的標準/規格,以查看系統是否有安全性漏洞的跡象。
若有有效率地使用 OpenSCAP,您需滿足以下兩項需求:
  • 驗證系統是否標準化的工具
    RHN 衛星伺服器自版本 5.5 起,包含了內建的 OpenSCAP 以提供稽核功能。您僅需要透過網站介面為系統排程及檢視規範掃瞄即可。
  • SCAP 內容
    若您理解 XCCDF 或是 OVAL,您亦可重頭新建 SCAP 的內容。此外,您亦可使用另一選項。XCCDF 內容經常會透過開放式原始碼使用條款線上發佈,並且此內容可自訂化以適合您使用。

    注意

    Red Hat 支援使用範本來評估您的系統。然而,Red Hat 不支援自訂編輯這些範本。
    這些群組的部分範例為:
    • The United States Government Configuration Baseline(USGCB)for RHEL5 Desktop — 聯邦單位系統的官方 SCAP 內容,此內容是於 NIST,與 Red Hat, Inc. 合作開發而成,而美國國防部(DoD)則使用 OVAL。
    • 社群提供的內容
      • RHEL6 的 SCAP 安全性指南 — 源自於 USGCB 需求、由社群所維護的內容,以及受到廣泛接受,及適用於桌面系統、伺服器與 ftp 伺服器的安全性政策。
      • RHEL6 的 OpenSCAP 內容 — RHEL 6 Optional 頻道中的 openscap-content 套件亦透過範本提供了 RHEL 6 系統的預設內容指南。
因為 SCAP 主要用於維護系統安全性,因此其所使用的標準會不斷更新,以滿足社群與企業的需求。新的標準是由 NIST's SCAP Release cycle 所控制,以便提供一致且可重複的修訂版工作流程。