Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
8.4.3. システムのスキャン
oscap の最も重要な機能は、ローカルシステムの設定スキャンと脆弱性スキャンを実行することです。各コマンドの一般的な構文を以下に示します。
oscap [options] module eval [module_operation_options_and_arguments]
oscap ユーティリティーは、
XCCDF
(eXtensible Configuration Checklist Description Format)ベンチマークと OVAL
(Open Vulnerability and Assessment Language)定義の両方が表される SCAP コンテンツに対してシステムをスキャンできます。セキュリティーポリシーには、OVAL ファイルまたは XCCDF ファイルの形式を 1 つ持つことができ、各ファイルが異なるコンポーネント(XCCDF、OVAL、CPE、CVE など)を表します。スキャンの結果は、標準出力と XML ファイルの両方に出力できます。結果ファイルは、人間が判読できる形式でレポートを生成するために oscap でさらに処理できます。以下の例は、コマンドの最も一般的な使用方法を示しています。
例8.6 SSG OVAL 定義を使用したシステムのスキャン
すべての定義の評価中に SSG OVAL 定義ファイルに対してシステムをスキャンするには、以下のコマンドを実行します。
~]$ oscap oval eval --results
scan-oval-results.xml
/usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
スキャンの結果は、現在のディレクトリーに
scan-oval-results.xml
ファイルとして保存されます。
例8.7 SSG OVAL 定義を使用したシステムのスキャン
SSG データストリームファイルで示されたセキュリティーポリシーから特定の OVAL 定義を評価するには、以下のコマンドを実行します。
~]$ oscap oval eval --id
oval:ssg:def:100 --results
scan-oval-results.xml
/usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
スキャンの結果は、現在のディレクトリーに
scan-oval-results.xml
ファイルとして保存されます。
例8.8 SSG XCCDF ベンチマークを使用したシステムのスキャン
お使いのシステムで
xccdf_org.ssgproject.content_profile_rht-ccp プロファイル
に対して SSG XCCDF ベンチマークを実行するには、以下のコマンドを実行します。
~]$ oscap xccdf eval --profile
xccdf_org.ssgproject.content_profile_rht-ccp --results
scan-xccdf-results.xml
/usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
スキャンの結果は、現在のディレクトリーに
scan-xccdf-results.xml
ファイルとして保存されます。
注記
--profile
コマンドライン引数は、指定の XCCDF ファイルまたはデータストリームファイルからセキュリティープロファイルを選択します。oscap info コマンドを実行して、利用可能なプロファイルの一覧を取得できます。--profile
コマンドライン引数を省略する場合は、SCAP 標準で必要なようにデフォルトの XCCDF プロファイルが使用されます。デフォルトの XCCDF プロファイルは、適切なセキュリティーポリシーである可能性があることに注意してください。