OpenSCAP 메모리 소비 문제

메모리가 제한된 시스템에서는 OpenSCAP 스캐너가 조기에 종료되거나 결과 파일을 생성하지 못할 수 있습니다. OpenSCAP은 스캔이 완료될 때까지 수집된 모든 결과를 메모리에 저장합니다. 일반적으로 성공적인 스캔을 완료하려면 시스템 메모리가 2GB 이상인 시스템을 보유하는 것이 좋습니다.

메모리 소비가 이렇게 높은 데에는 여러 가지 요인이 있습니다.

• 선택한 프로필의 복잡성

• 평가되는 규칙의 수와 그 복잡성

• 검사된 파일 시스템에 저장된 파일 수 및 해당 시스템에 설치된 패키지 수

다음 해결 방법을 사용하면 메모리 소비를 줄일 수 있습니다.

• 환경 변수 OSCAP_PROBE_MEMORY_USAGE_RATIO를 설정하여 OpenSCAP 프로브의 최대 메모리 사용량 비율(사용된/전체)을 변경할 수 있습니다. 기본값은 0.1입니다.

• 다음 명령을 사용하면 스캔 중에 보고서를 생성하는 대신 HTML 보고서를 생성할 수 있습니다.

$ oscap xccdf generate report 

• 전체 / 파일 시스템에 대한 재귀와 관련된 규칙을 선택 취소하기 위해 검사 프로필을 사용자 정의할 수 있습니다.

  • rpm_verify_hashes
  • rpm_verify_permissions
  • rpm_verify_ownership
  • file_permissions_unauthorized_world_writable
  • no_files_unowned_by_user
  • dir_perms_world_writable_system_owned
  • file_permissions_unauthorized_suid
  • file_permissions_unauthorized_sgid
  • file_permissions_ungroupowned
  • dir_perms_world_writable_sticky_bits

• 다른 검색을 완료하기 전에 이전 지점에 나열된 규칙에 대한 교정 적용을 시도해 볼 수 있습니다. 이러한 교정은 검색 중에 수집해야 하는 데이터 양을 줄여 스캐너의 메모리 소비를 줄이는 데 도움이 될 수 있습니다.

• RAM이 제한된 시스템에서는 서버 및 최소 설치와 같은 더 작은 패키지 그룹을 사용할 수 있습니다.

• oscap 명령에 대한 메모리 제한을 설정할 수 있습니다.