8.3. 設定コンプライアンススキャン
8.3.1. RHEL 7 の設定コンプライアンス
設定コンプライアンススキャンを使用して、特定の組織で定義されているベースラインに準拠できます。たとえば、米国政府と協力している場合は、Operating System Protection Profile (OSPP) に準拠し、支払い処理業者の場合は Payment Card Industry Data Security Standard (PCI-DSS) に準拠しなければならない場合があります。設定コンプライアンススキャンを実行して、システムセキュリティーを強化することもできます。
Red Hat は、影響を受けるコンポーネントに対する Red Hat のベストプラクティスに従っているため、SCAP Security Guide パッケージで提供される Security Content Automation Protocol (SCAP) コンテンツに従うことを推奨します。
SCAP Security Guide パッケージは、SCAP 1.2 および SCAP 1.3 標準規格に準拠するコンテンツを提供します。openscap scanner ユーティリティーは、SCAP Security Guide パッケージで提供される SCAP 1.2 および SCAP 1.3 コンテンツの両方と互換性があります。
重要
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。
SCAP セキュリティーガイドスイートは、データストリームのドキュメント形式で、複数のプラットフォームのプロファイルを提供します。データストリームは、定義、ベンチマーク、プロファイル、および個々のルールが含まれるファイルです。各ルールでは、コンプライアンスの適用性と要件を指定します。RHEL 7 は、セキュリティーポリシーを扱う複数のプロファイルを提供します。Red Hat データストリームには、業界標準の他に、失敗したルールの修正に関する情報も含まれます。
コンプライアンススキャンリソースの構造
Data stream ├── xccdf | ├── benchmark | ├── profile | ├──rule | ├── xccdf | ├── oval reference ├── oval ├── ocil reference ├── ocil ├── cpe reference └── cpe └── remediation
このプロファイルは、OSPP (Operating System Protection Profile)、PCI-DSS (Payment Card Industry Data Security Standard) などのセキュリティーポリシーに基づく一連のルールです。これにより、セキュリティー標準規格に準拠するために、システムを自動で監査できます。
プロファイルを変更 (調整) して、パスワードの長さなどの特定のルールをカスタマイズできます。プロファイルの調整の詳細は、「SCAP Workbench を使用したセキュリティープロファイルのカスタマイズ」を参照してください
注記
コンテナーまたはコンテナーイメージをスキャンして設定のコンプライアンスを確認するには、「コンテナーおよびコンテナーイメージの脆弱性スキャン」 を参照してください。
8.3.2. OpenSCAP スキャン結果の例
システムのさまざまなプロパティーと、OpenSCAP スキャンに適用されるデータストリームおよびプロファイルによっては、ルールごとに固有の結果が生成されることがあります。以下は、考えられる結果のリストで、その意味を簡単に説明します。
| 結果 | 説明 |
|---|---|
| Pass | スキャンでは、このルールとの競合が見つかりませんでした。 |
| Fail | スキャンで、このルールとの競合が検出されました。 |
| Not checked | OpenSCAP はこのルールの自動評価を実行しません。システムがこのルールに手動で準拠しているかどうかを確認してください。 |
| Not applicable | このルールは、現在の設定には適用されません。 |
| Not selected | このルールはプロファイルには含まれません。OpenSCAP はこのルールを評価せず、結果にこのようなルールは表示されません。 |
| Error | スキャンでエラーが発生しました。詳細は、--verbose DEVEL オプションを指定して oscap- scanner コマンドを入力できます。バグレポート を作成することを検討してください。 |
| Unknown | スキャンで予期しない状況が発生しました。詳細は、--verbose DEVEL オプションを指定して oscap- scanner コマンドを入力できます。バグレポート を作成することを検討してください。 |
8.3.3. 設定コンプライアンスのプロファイルの表示
スキャンまたは修復にプロファイルを使用することを決定する前に、それらを一覧表示し、oscap info サブコマンドを使用して詳細な説明を確認できます。
前提条件
- openscap-scanner パッケージおよび scap-security-guide パッケージがインストールされている。
手順
- SCAP Security Guide プロジェクトが提供する設定コンプライアンスプロファイルで、利用可能なファイルをすべて一覧表示します。
~]$ls /usr/share/xml/scap/ssg/content/ ssg-firefox-cpe-dictionary.xml ssg-rhel6-ocil.xml ssg-firefox-cpe-oval.xml ssg-rhel6-oval.xml ... ssg-rhel6-ds-1.2.xml ssg-rhel8-xccdf.xml ssg-rhel6-ds.xml ... - oscap info サブコマンドを使用して、選択したデータストリームに関する詳細情報を表示します。データストリームを含む XML ファイルは、名前に
-ds文字列で示されます。Profilesセクションで、利用可能なプロファイルとその ID の一覧を確認できます。~]$oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml ... Profiles: Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7 Id: xccdf_org.ssgproject.content_profile_pci-dss Title: OSPP - Protection Profile for General Purpose Operating Systems v. 4.2.1 Id: xccdf_org.ssgproject.content_profile_ospp ... - データストリームファイルからプロファイルを選択し、選択したプロファイルに関する追加情報を表示します。これを行うには、
--profileオプションと、前のコマンドの出力に表示される ID の接尾辞を指定して oscap info を使用します。たとえば、PCI-DSS プロファイルの ID はxccdf_org.ssgproject.content_profile_pci-dssで、--profileオプションの値は_pci-dssです。~]$oscap info --profile _pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml ... Profile Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7 Id: xccdf_org.ssgproject.content_profile_pci-dss Description: Ensures PCI-DSS v3.2.1 related security configuration settings are applied. ... - または、GUI を使用する場合は scap-security-guide-doc パッケージをインストールし、Web ブラウザーで
file:///usr/share/doc/scap-security-guide-doc-0.1.46/ssg-rhel7-guide-index.htmlファイルを開きます。Guide to the Secure Configuration of Red Hat Enterprise Linux 7 ドキュメントの右上のフィールドで必要なプロファイルを選択すると、後続の評価のために、関連するコマンドに ID がすでに含まれていることを確認できます。
関連情報
- man ページの
scap-security-guide (8)には、プロファイルの一覧も含まれています。
8.3.4. 特定のベースラインによる設定コンプライアンスの評価
システムが特定のベースラインに準拠しているかどうかを確認するには、次の手順に従います。
前提条件
- openscap-scanner パッケージおよび scap-security-guide パッケージがインストールされている。
- システムが準拠する必要があるベースライン内のプロファイルの ID を知っている必要があります。ID を見つけるには、「設定コンプライアンスのプロファイルの表示」を参照してください。
手順
- 選択したプロファイルでそのシステムがどのように複雑であるかを評価し、スキャン内容を保存すると、以下のように HTML ファイル (report.html) に結果が表示されます。
~]$sudo oscap xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml - オプション: ホスト名 machine1、ポート 22 で実行されている SSH、およびユーザー名 joesec を使用してリモートシステムをスキャンし、脆弱性を確認して、結果を remote-report.html ファイルに保存します。
~]$oscap-ssh joesec@machine1 22 xccdf eval --report remote_report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
関連情報
scap-security-guide (8)のman ページ- scap-security-guide-doc パッケージでインストールされているGuide to the Secure Configuration of Red Hat Enterprise Linux 7
