8.2. 脆弱性スキャン
8.2.1. Red Hat Security Advisories OVAL フィード
Red Hat Enterprise Linux のセキュリティー監査機能は、標準規格セキュリティー設定共通化手順 (Security Content Automation Protocol (SCAP)) を基にしています。SCAP は、自動化された設定、脆弱性およびパッチの確認、技術的な制御コンプライアンスアクティビティー、およびセキュリティーの測定に対応している多目的な仕様のフレームワークです。
SCAP 仕様は、スキャナーまたはポリシーエディターの実装が義務付けられていなくても、セキュリティーコンテンツの形式がよく知られて標準化されているエコシステムを作成します。これにより、組織は、採用しているセキュリティーベンダーの数に関係なく、セキュリティーポリシー (SCAP コンテンツ) を構築するのは一度で済みます。
セキュリティー検査言語 OVAL (Open Vulnerability Assessment Language) は、SCAP に不可欠で最も古いコンポーネントです。その他のツールやカスタマイズされたスクリプトとは異なり、OVAL は、宣言型でリソースが必要な状態を記述します。OVAL コードは、スキャナーと呼ばれる OVAL インタープリターツールを使用して直接実行されることは決してありません。OVAL が宣言型であるため、評価されるシステムの状態が偶然修正されることはありません。
他のすべての SCAP コンポーネントと同様に、OVAL は XML に基づいています。SCAP 標準規格は、いくつかのドキュメント形式を定義します。この形式にはそれぞれ異なる種類の情報が記載され、異なる目的に使用されます。
Red Hat 製品セキュリティー を使用すると、Red Hat 製品をお使いのお客様に影響を及ぼすセキュリティー問題をすべて追跡して調査します。Red Hat カスタマーポータルで簡潔なパッチやセキュリティーアドバイザリーを適時提供します。Red Hat は OVAL パッチ定義を作成してサポートし、マシンが判読可能なセキュリティーアドバイザリーを提供します。
プラットフォーム、バージョン、およびその他の要因が異なるため、Red Hat 製品セキュリティー質的な脆弱性の重大度評価 は、サードパーティーが提供する Common Vulnerability Scoring System (CHC) のベースライン評価と完全に一致しているわけではありません。したがって、サードパーティーが提供する定義ではなく、RHSA OVAL 定義を使用することが推奨されます。
RHSA OVAL 定義 は、個別に完全なパッケージとして利用可能であり、RedHat カスタマーポータルで新しいセキュリティーアドバイザリーが利用可能になってから 1 時間以内に更新されます。
各 OVAL パッチ定義は、Red Hat セキュリティーアドバイザリー (RHSA) と 1 対 1 にマッピングしています。RHSA には複数の脆弱性に対する修正が含まれるため、各脆弱性は、共通脆弱性識別子 (Common Vulnerabilities and Exposures (CVE)) 名ごとに表示され、公開バグデータベースの該当箇所へのリンクが示されます。
RHSA OVAL 定義は、システムにインストールされている RPM パッケージで脆弱なバージョンを確認するように設計されています。この定義は拡張でき、パッケージが脆弱な設定で使用されているかどうかを見つけるなど、さらに確認できるようにすることができます。この定義は、Red Hat が提供するソフトウェアおよび更新に対応するように設計されています。サードパーティーソフトウェアのパッチ状態を検出するには、追加の定義が必要です。
注記
コンテナーやコンテナーイメージのセキュリティーの脆弱性をスキャンするには、「コンテナーおよびコンテナーイメージの脆弱性スキャン」 を参照してください。
8.2.2. システムの脆弱性のスキャン
oscap コマンドラインユーティリティーを使用すると、ローカルシステムをスキャンし、設定コンプライアンスコンテンツを検証し、スキャンおよび評価に基づいてレポートおよびガイドを生成します。このユーティリティーは、OpenSCAP ライブラリーのフロントエンドとしてサービスを提供し、その機能を処理する SCAP コンテンツのタイプに基づいてモジュール (サブコマンド) にグループ化します。
手順
- openscap-scanner パッケージおよび bzip2 パッケージをインストールします。
~]#yum install openscap-scanner bzip2 - お使いのシステムに対応した最新の RHSA OVAL 定義ファイルをダウンロードします。以下に例を示します。
~]#wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml - システムの脆弱性をスキャンし、vulnerability.html ファイルに結果を保存します。
~]#oscap oval eval --report vulnerability.html rhel-7.oval.xml
検証
- 結果をブラウザーで確認します。以下に例を示します。
~]$firefox vulnerability.html &
注記
CVE OVAL チェックは脆弱性を検索します。したがって、“True" いう結果は、システムに脆弱性があることを意味し、“False" という結果は、スキャンによって脆弱性が発見されなかったことを意味します。HTML レポートでは、これは結果の行の色によってさらに区別されます。
関連情報
- man ページの
oscap (8)
8.2.3. リモートシステムの脆弱性のスキャン
SSH プロトコルで
oscap-ssh ツールを使用して、OpenSCAP スキャナーでリモートシステムの脆弱性を確認することもできます。
前提条件
- リモートシステムに openscap-scanner パッケージがインストールされている。
- リモートシステムで SSH サーバーが実行している。
手順
- openscap-utils パッケージおよび bzip2 パッケージをインストールします。
~]#yum install openscap-utils bzip2 - システムに最新 RHSA OVAL 定義をダウンロードします。
~]#wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml - 脆弱性に対して、ホスト名 machine1、ポート 22 で実行する SSH、およびユーザー名 joesec でリモートシステムをスキャンし、結果を remote-vulnerability.html ファイルに保存します。
~]#oscap-ssh joesec@machine1 22 oval eval --report remote-vulnerability.html rhel-7.oval.xml
関連情報
- man ページの
oscap-ssh (8)
