OpenSCAP のメモリー消費の問題

メモリーが限られているシステムでは、OpenSCAP スキャナが途中で終了するか、結果ファイルが生成されない可能性があります。OpenSCAP は、スキャンが終了するまで、収集されたすべての結果をメモリーに保存します。一般に、スキャンを正常に完了するには、少なくとも 2 GB のメモリーを搭載したシステムを使用することを推奨します。

メモリー消費量が非常に多くなる理由は複数あります。

• 選択したプロファイルの複雑さ

• 評価されるルールの数とその複雑さ

• スキャンされたファイルシステムに保存されているファイルの数と、そのシステムにインストールされているパッケージの数

次の回避策により、メモリー消費量を減らすことができます。

• 環境変数 OSCAP_PROBE_MEMORY_USAGE_RATIO を設定すると、OpenSCAP プローブの最大メモリー使用率 (使用量/合計) を変更できます。デフォルト値は 0.1 です。

• 次のコマンドを使用すると、スキャン中にレポートを生成する代わりに、HTML レポートを生成できます。

$ oscap xccdf generate report 

• スキャンプロファイルをカスタマイズして、/ ファイルシステム全体の再帰を含むルールの選択を解除できます。

  • rpm_verify_hashes
  • rpm_verify_permissions
  • rpm_verify_ownership
  • file_permissions_unauthorized_world_writable
  • no_files_unowned_by_user
  • dir_perms_world_writable_system_owned
  • file_permissions_unauthorized_suid
  • file_permissions_unauthorized_sgid
  • file_permissions_ungroupowned
  • dir_perms_world_writable_sticky_bits

• 別のスキャンを完了する前に、前のポイントでリストされたルールに対する修復の適用を試みることができます。これらの修復により、スキャン中に収集する必要があるデータの量が削減され、スキャナのメモリー消費量が削減されます。

• RAM が限られているシステムでは、サーバー や 最小限のインストール など、より小さなパッケージグループを使用できます。

• oscap コマンドのメモリー制限を設定できます。