5.2. 設定コンプライアンススキャン
5.2.1. RHEL の設定コンプライアンス リンクのコピーリンクがクリップボードにコピーされました!
設定コンプライアンススキャンを使用して、特定の組織で定義されているベースラインに準拠できます。たとえば、決済処理業者の場合は、システムを Payment Card Industry Data Security Standard (PCI-DSS) に準拠させる必要がある可能性があります。設定コンプライアンススキャンを実行して、システムセキュリティーを強化することもできます。
Red Hat は、対象コンポーネント向けの Red Hat のベストプラクティスに従っているため、SCAP Security Guide パッケージで提供される Security Content Automation Protocol (SCAP) コンテンツに従うことを推奨します。
SCAP Security Guide パッケージは、SCAP 1.2 および SCAP 1.3 標準規格に準拠するコンテンツを提供します。openscap scanner
ユーティリティーは、SCAP Security Guide パッケージで提供される SCAP 1.2 および SCAP 1.3 コンテンツの両方と互換性があります。
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。
SCAP Security Guide スイートは、データストリームドキュメントの形式で、複数のプラットフォームのプロファイルを提供します。データストリームは、定義、ベンチマーク、プロファイル、および個々のルールが含まれるファイルです。各ルールでは、コンプライアンスの適用性と要件を指定します。RHEL は、セキュリティーポリシーを扱う複数のプロファイルを提供します。Red Hat データストリームには、業界標準の他に、失敗したルールの修正に関する情報も含まれます。
コンプライアンススキャンリソースの構造
プロファイルは、PCI-DSS や Health Insurance Portability and Accountability Act (HIPAA) などのセキュリティーポリシーに基づく一連のルールです。これにより、セキュリティー標準規格に準拠するために、システムを自動で監査できます。
プロファイルを変更 (調整) して、パスワードの長さなどの特定のルールをカスタマイズできます。
プロファイルのカスタマイズの詳細は、autotailor を使用したセキュリティープロファイルのカスタマイズ を参照してください。
5.2.2. OpenSCAP スキャン結果の例 リンクのコピーリンクがクリップボードにコピーされました!
OpenSCAP スキャンに適用されるデータストリームとプロファイル、およびシステムのさまざまなプロパティーに応じて、各ルールから特定の結果が生成される場合があります。以下に考えられる結果とその意味の簡単な説明を示します。
- Pass
- スキャンでは、このルールとの競合が見つかりませんでした。
- Fail
- スキャンで、このルールとの競合が検出されました。
- Not checked
- OpenSCAP はこのルールの自動評価を実行しません。システムがこのルールに手動で準拠しているかどうかを確認してください。
- Not applicable
- このルールは、現在の設定には適用されません。
- Not selected
- このルールはプロファイルには含まれません。OpenSCAP はこのルールを評価せず、結果にこのようなルールは表示されません。
- Error
-
スキャンでエラーが発生しました。詳細は、
--verbose DEVEL
オプションを指定してoscap
コマンドで確認できます。Red Hat カスタマーポータル でサポートケースを作成するか、Red Hat Jira の RHEL プロジェクト でチケットを作成します。 - Unknown
-
スキャンで予期しない状況が発生しました。詳細は、
--verbose DEVEL
オプションを指定してoscap
コマンドで確認できます。Red Hat カスタマーポータル でサポートケースを作成するか、Red Hat Jira の RHEL プロジェクト でチケットを作成します。
5.2.3. 設定コンプライアンスのプロファイルの表示 リンクのコピーリンクがクリップボードにコピーされました!
スキャンまたは修復にプロファイルを使用することを決定する前に、oscap info
サブコマンドを使用してプロファイルをリスト表示し、詳細な説明を確認できます。
前提条件
-
openscap-scanner
パッケージおよびscap-security-guide
パッケージがインストールされている。
手順
SCAP Security Guide プロジェクトが提供するセキュリティーコンプライアンスプロファイルで利用可能なファイルをすべて表示します。
ls /usr/share/xml/scap/ssg/content/
$ ls /usr/share/xml/scap/ssg/content/ ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow oscap info
サブコマンドを使用して、選択したデータストリームに関する詳細情報を表示します。データストリームを含む XML ファイルは、名前に-ds
文字列で示されます。Profiles
セクションでは、利用可能なプロファイルと、その ID のリストを確認できます。Copy to Clipboard Copied! Toggle word wrap Toggle overflow データストリームファイルからプロファイルを選択し、選択したプロファイルに関する追加情報を表示します。そのためには、
oscap info
に--profile
オプションを指定した後に、直前のコマンドの出力で表示された ID の最後のセクションを指定します。たとえば、HIPPA プロファイルの ID はxccdf_org.ssgproject.content_profile_hipaa
で、--profile
オプションの値はhipaa
です。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
5.2.4. 特定のベースラインによる設定コンプライアンスの評価 リンクのコピーリンクがクリップボードにコピーされました!
oscap
コマンドラインツールを使用して、システムまたはリモートシステムが特定のベースラインに準拠しているかどうかを判断し、結果をレポートに保存できます。
前提条件
-
openscap-scanner
パッケージおよびscap-security-guide
パッケージがインストールされている。 - システムが準拠する必要があるベースライン内のプロファイルの ID を知っている必要があります。ID を見つけるには、設定コンプライアンスのプロファイルの表示 セクションを参照してください。
手順
ローカルシステムをスキャンして、選択したプロファイルへの準拠を評価し、スキャン結果をファイルに保存します。
oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
$ oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のように置き換えます。
-
<scan_report.html>
は、oscap
がスキャン結果を保存するファイル名に置き換えます。 -
<profile_ID>
は、システムが準拠する必要があるプロファイル ID (例:hipaa
) に置き換えます。
-
オプション: リモートシステムをスキャンして、選択したプロファイルへの準拠を評価し、スキャン結果をファイルに保存します。
oscap-ssh <username>@<hostname> <port> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
$ oscap-ssh <username>@<hostname> <port> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のように置き換えます。
-
<username>@<hostname>
は、リモートシステムのユーザー名とホスト名に置き換えます。 -
<port>
は、リモートシステムにアクセスできるポート番号です。 -
<scan_report.html>
は、oscap
がスキャン結果を保存するファイル名に置き換えます。 -
<profile_ID>
は、システムが準拠する必要があるプロファイル ID (例:hipaa
) に置き換えます。
-
5.2.5. 特定のベースラインを使用したコンテナーまたはコンテナーイメージのセキュリティーコンプライアンスの評価 リンクのコピーリンクがクリップボードにコピーされました!
コンテナーまたはコンテナーイメージが、Payment Card Industry Data Security Standard (PCI-DSS) や Health Insurance Portability and Accountability Act (HIPAA) などの特定のセキュリティーベースラインに準拠しているかどうかを評価できます。
前提条件
-
openscap-utils
パッケージおよびscap-security-guide
パッケージがインストールされている。 - システムへの root アクセス権があります。
手順
コンテナーまたはコンテナーイメージの ID を見つけます。
-
コンテナーの ID を見つけるには、
podman ps -a
コマンドを入力します。 -
コンテナーイメージの ID を見つけるには、
podman images
コマンドを入力します。
-
コンテナーの ID を見つけるには、
コンテナーまたはコンテナーイメージがプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。
oscap-podman <ID> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
# oscap-podman <ID> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のように置き換えます。
-
<ID>
は、コンテナーまたはコンテナーイメージの ID に置き換えます。 -
<scan_report.html>
は、oscap
がスキャン結果を保存するファイル名に置き換えます。 -
<profile_ID>
は、システムが準拠する必要があるプロファイル ID (例:hipaa
またはpci-dss
) に置き換えます。
-
検証
結果をブラウザーで確認します。以下に例を示します。
firefox <scan_report.html> &
$ firefox <scan_report.html> &
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
notapplicable
とマークされたルールは、ベアメタルおよび仮想化システムにのみ適用され、コンテナーまたはコンテナーイメージには適用されません。