8.4. oscapの使用


oscap コマンドラインユーティリティーを使用すると、ユーザーはローカルシステムのスキャン、セキュリティーコンプライアンスコンテンツの確認、ならびにスキャンおよび評価を基にしたレポートとガイドの生成が可能です。このユーティリティーは、OpenSCAP ライブラリーのフロントエンドとして機能し、その機能を処理する SCAP コンテンツのタイプに基づいてモジュール(サブコマンド)にグループ化します。
以下のセクションでは、oscap のインストール、最も一般的な操作を実行し、これらのタスクの関連する例を表示する方法を説明します。特定のサブコマンドの詳細は、oscap コマンドで --help オプションを使用します。
oscap [options] module module_operation [module_operation_options_and_arguments] --help
module は処理される SCAP コンテンツのタイプを表し、module_operation は SCAP コンテンツ上の特定の操作のサブコマンドになります。

例8.4 特定の oscap 操作に関するヘルプの取得

~]$ oscap ds sds-split --help
oscap -> ds -> sds-split

Split given SourceDataStream into separate files

Usage: oscap [options] ds sds-split [options] SDS TARGET_DIRECTORY

SDS - Source data stream that will be split into multiple files.
TARGET_DIRECTORY - Directory of the resulting files.

Options:
   --datastream-id <id>          - ID of the datastream in the collection to use.
   --xccdf-id <id>               - ID of XCCDF in the datastream that should be evaluated.
oscap の機能とそのオプションの完全なリストの詳細は、man ページの oscap(8) を参照してください。

8.4.1. oscapのインストール

oscap をシステムにインストールするには、root で以下のコマンドを実行します。
~]# yum install openscap-scanner
このコマンドを使用すると、oscap で、パッケージなど、適切に機能するために必要なパッケージをすべてインストールでき openscap ます。
独自のセキュリティーコンテンツを作成する場合は、Script Check Engine(SCE)を提供する openscap-engine-sce パッケージもインストールする必要があります。SCE は SCAP プロトコルの拡張機能で、コンテンツ作成者は Bash、Python、Ruby などのスクリプト言語を使用してセキュリティーコンテンツを記述できるようにします。openscap-engine-sce パッケージは、openscap-scanner パッケージと同じ方法でインストールできますが、Red Hat Enterprise Linux バリアントのオプションパッケージを使用して、リポジトリーまたはチャネルにアクセスできる必要があります。システムが Red Hat Subscription Management に登録されている場合は、『Red Hat Enterprise Linux 6 デプロイメントガイド』の Yum の章 で説明しているように、rhel-6-variant-optional-rpms リポジトリーを有効にします。variant は、サーバーワークステーション などの Red Hat Enterprise Linux バリアントです。システムが RHN Classic に登録されている場合は、システムを rhel-architecturevariant-6-optional チャンネル)にサブスクライブします https://access.redhat.com/site/solutions/9907
必要に応じて、oscap のインストール後に、oscap のバージョンの機能、サポートする仕様、特定の oscap ファイルを保存する場所、使用可能な SCAP オブジェクトの種類、その他の有用な情報を確認できます。この情報を表示するには、以下のコマンドを入力します。
~]$ oscap -V
OpenSCAP command line tool (oscap) 1.0.8
Copyright 2009--2014 Red Hat Inc., Durham, North Carolina.

==== Supported specifications ====
XCCDF Version: 1.2
OVAL Version: 5.10.1
CPE Version: 2.3
CVSS Version: 2.0
CVE Version: 2.0
Asset Identification Version: 1.1
Asset Reporting Format Version: 1.1

==== Capabilities added by auto-loaded plugins ====
SCE Version: 1.0 (from libopenscap_sce.so.8)

==== Paths ====
Schema files: /usr/share/openscap/schemas
Schematron files: /usr/share/openscap/xsl
Default CPE files: /usr/share/openscap/cpe
Probes: /usr/libexec/openscap

==== Inbuilt CPE names ====
Red Hat Enterprise Linux - cpe:/o:redhat:enterprise_linux
Red Hat Enterprise Linux 5 - cpe:/o:redhat:enterprise_linux:5
Red Hat Enterprise Linux 6 - cpe:/o:redhat:enterprise_linux:6
Red Hat Enterprise Linux 7 - cpe:/o:redhat:enterprise_linux:7
Fedora 16 - cpe:/o:fedoraproject:fedora:16
Fedora 17 - cpe:/o:fedoraproject:fedora:17
Fedora 18 - cpe:/o:fedoraproject:fedora:18
Fedora 19 - cpe:/o:fedoraproject:fedora:19
Fedora 20 - cpe:/o:fedoraproject:fedora:20
Fedora 21 - cpe:/o:fedoraproject:fedora:21
Red Hat Enterprise Linux Optional Productivity Applications - cpe:/a:redhat:rhel_productivity
Red Hat Enterprise Linux Optional Productivity Applications 5 - cpe:/a:redhat:rhel_productivity:5

==== Supported OVAL objects and associated OpenSCAP probes ====
system_info                  probe_system_info           
family                       probe_family                
filehash                     probe_filehash              
environmentvariable          probe_environmentvariable   
textfilecontent54            probe_textfilecontent54     
textfilecontent              probe_textfilecontent       
variable                     probe_variable              
xmlfilecontent               probe_xmlfilecontent        
environmentvariable58        probe_environmentvariable58 
filehash58                   probe_filehash58            
inetlisteningservers         probe_inetlisteningservers  
rpminfo                      probe_rpminfo               
partition                    probe_partition             
iflisteners                  probe_iflisteners           
rpmverify                    probe_rpmverify             
rpmverifyfile                probe_rpmverifyfile         
rpmverifypackage             probe_rpmverifypackage      
selinuxboolean               probe_selinuxboolean        
selinuxsecuritycontext       probe_selinuxsecuritycontext
file                         probe_file                  
interface                    probe_interface             
password                     probe_password              
process                      probe_process               
runlevel                     probe_runlevel              
shadow                       probe_shadow                
uname                        probe_uname                 
xinetd                       probe_xinetd                
sysctl                       probe_sysctl                
process58                    probe_process58             
fileextendedattribute        probe_fileextendedattribute 
routingtable                 probe_routingtable
oscap ユーティリティーを効果的に使用を開始する前に、一部のセキュリティーコンテンツをシステムにインストールするか、またはインポートする必要があります。各 Web サイトから SCAP コンテンツをダウンロードしたり、RPM ファイルまたはパッケージとして指定された場合は Yum パッケージマネージャーを使用して、指定した場所(既知のリポジトリー)からインストールできます。
たとえば、Linux システム向けの最新のセキュリティーポリシーを含む SCAP Security Guide(SSG)パッケージをインストールするには、以下のコマンドを実行します。
~]# yum install scap-security-guide
scap-security-guide パッケージをシステムにインストールし、指定しない限り、SSG セキュリティーコンテンツが /usr/share/xml/scap/ssg/content/ ディレクトリーで利用可能になり、他のセキュリティーコンプライアンス操作に進むことができます。
ニーズに適した既存の SCAP コンテンツの他のソースを確認するには、を参照してください 「その他のリソース」
システムに SCAP コンテンツをインストールした後、oscap は、コンテンツのファイルパスを指定してコンテンツを処理できます。oscap ユーティリティーは SCAP バージョン 1.2 に対応しており、SCAP バージョン 1.1 および 1.0 と後方互換性があるので、特別な要件なしで SCAP コンテンツの以前のバージョンを処理することができます。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.