8.2.2. 취약점 스캔
oscap 명령줄 유틸리티를 사용하면 로컬 시스템을 스캔하고, 구성 준수 콘텐츠를 검증하고, 이러한 스캔 및 평가를 기반으로 보고서 및 가이드를 생성할 수 있습니다. 이 유틸리티는 OpenSCAP 라이브러리의 프런트엔드 역할을 하며 처리하는 SCAP 콘텐츠 유형에 따라 해당 기능을 모듈(하위 명령)에 그룹화합니다.
절차
- openscap-scanner 및 EgressIP 2 패키지를 설치합니다.
~]#yum install openscap-scanner bzip2 - 시스템의 최신 RHSA OVAL 정의를 다운로드합니다. 예를 들면 다음과 같습니다.
~]#wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml - 시스템에서 취약점을 스캔하고 결과를 vulnerability.html 파일에 저장합니다.
~]#oscap oval eval --report vulnerability.html rhel-7.oval.xml
검증
- 선택한 브라우저의 결과를 확인합니다. 예를 들면 다음과 같습니다.
~]$firefox vulnerability.html &
참고
CVE OVAL 검사에서 취약점을 검색합니다. 따라서 결과 "True"는 시스템이 취약하다는 것을 의미하지만 "False"는 검사에서 취약점을 발견하지 않았음을 의미합니다. HTML 보고서에서 이 값은 결과 행의 색상으로 더욱 구분됩니다.
추가 리소스
oscap(8)도움말 페이지.- Red Hat OVAL 정의 목록.
