8.4.6. OpenSCAP を使用したシステムの修復
OpenSCAP を使用すると、コンプライアンス違反の状態で見つかったシステムを自動的に修正できます。システムの修復には、命令を含む XCCDF ファイルが必要です。には、scap-security-guide package 特定の修復手順が含まれます。
システム修復は、以下の手順で構成されます。
- OpenSCAP は、通常の XCCDF 評価を実行します。
- 結果の評価は、OVAL 定義を評価することで実行されます。失敗した各ルールは修復の候補としてマークされます。
- OpenSCAP は適切な修正要素を検索し、解決し、環境を準備し、修正スクリプトを実行します。
- 修正スクリプトの出力は、OpenSCAP によってキャプチャーされ、
rule-result要素に保存されます。修正スクリプトの戻り値も保存されます。 - OpenSCAP が修正スクリプトを実行すると、直ちに OVAL 定義を再評価します(修正スクリプトが正しく適用されていることを検証するため)。この 2 回目の実行中に OVAL 評価が success を返すと、ルールの結果はになります
fixed。そうでない場合はになりerrorます。 - 修正の詳細な結果は、XCCDF 出力ファイルに保存されます。これには 2 つの
TestResult要素が含まれます。最初のTestResult要素は、修復前のスキャンを表します。2 つ目TestResultは最初のデータから派生し、修復の結果が含まれます。
OpenSCAP には、オンライン、オフライン、およびレビューの修正に関して 3 つの動作モードがあります。
8.4.6.1. OpenSCAP オンライン修正
オンライン修復は、スキャン時に修正要素を実行します。評価および修正は、1 つのコマンドの一部として実行します。
オンラインの修復を有効にするには、
--remediate コマンドラインオプションを使用します。たとえば、scap-security-guide パッケージを使用してオンライン修復を実行するには、以下を実行します。
~]$ oscap xccdf eval --remediate --profile xccdf_org.ssgproject.content_profile_rht-ccp --results scan-xccdf-results.xml /usr/share/xml/scap/ssg/content/ssg-rhel6-ds.xml
このコマンドの出力は、2 つのセクションで構成されます。最初のセクションは、修復前のスキャン結果を示し、2 番目のセクションに修正を適用後のスキャン結果が表示されます。2 番目の部分には
fixed、および error 結果のみを含めることができます。fixed 結果は、修復に合格した後にスキャンが実行されていることを示しています。error 結果は、修復の適用後も評価は合格していないことを示します。
