第58章 セキュリティー
OpenSCAP の rpmverifypackage が正常に動作しません。
rpmverifypackage プローブにより、システムコール chdir および chroot が 2 回呼び出されます。これにより、カスタムの OVAL (Open Vulnerability and Assessment Language) コンテンツを使用した OpenSCAP をスキャンする際にこのプルーブを使用していると、エラーが発生します。
この問題を回避するには、コンテンツで OVAL テスト
rpmverifypackage_test を使用しないようにするか、rpmverifypackage_test が使用されていない scap-security-guide パッケージのコンテンツのみを使用します。(BZ#1603347)
dconf データベースは OVAL によってチェックされません
SCAP セキュリティーガイド プロジェクトで使用される OVAL (Open Vulnerability and Assessment Language) チェックは、dconf バイナリーデータベースを読み取ることができず、データベースの生成に使用されるファイルのみを読み取ることができます。データベースは自動的に再生成されないため、管理者は dconf update コマンドを入力する必要があります。その結果、/etc/dconf/db/ ディレクトリー内のファイルを使用して行われたもの以外のデータベースへの変更は、スキャンによって検出できません。これにより、偽陰性の結果が生じる可能性があります。
SCAP Workbench が、カスタムプロファイルから結果ベースの修正を生成できません。
SCAP Workbench ツールを使用してカスタムプロファイルから結果ベースの修正ロールを生成しようとすると、次のエラーが発生します。
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
OpenSCAP スキャナーの結果には、多くの SELinux コンテキストエラーメッセージが含まれています
OpenSCAP スキャナーは、真のエラーではない状況でも、SELinux コンテキストを取得できないことを ERROR レベルでログに記録します。その結果、OpenSCAP スキャナーの結果には、多くの SELinux コンテキストエラーメッセージが含まれます。そのため、oscap コマンドラインユーティリティーと SCAP Workbench グラフィカルユーティリティーの出力はどちらも読みにくい場合があります。(BZ#1640522)
oscap スキャンは過剰な量のメモリーを使用します
Open Vulnerability Assessment Language (OVAL) プローブの結果データはスキャン中ずっとメモリー内に保持され、レポートの生成もメモリーを大量に消費するプロセスです。その結果、非常に大規模なファイルシステムがスキャンされると、
oscap プロセスが利用可能なメモリーをすべて占有し、オペレーティングシステムによって強制終了される可能性があります。
この問題を回避するには、調整を使用してファイルシステム全体をスキャンするルールを除外し、それらを個別に実行します。さらに、--oval-results オプションは使用しないでください。その結果、処理されるデータの量を減らしても、メモリーの過度の使用が原因でシステムのスキャンがクラッシュすることはなくなります。(BZ#1548949)
