Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

5.2. 配置合规性扫描

5.2.1. RHEL 中的配置合规性
复制链接

您可以使用配置合规性扫描来遵循特定组织定义的基准。例如,如果您是支付处理器,您可能需要使您的系统与支付卡行业数据安全标准(PCI-DSS)保持一致。您还可以执行配置合规性扫描来强化您的系统安全。

红帽建议您遵循 SCAP 安全指南软件包中提供的安全内容自动化协议(SCAP)的内容,因为它符合红帽针对受影响组件的最佳实践。

SCAP 安全指南软件包提供了符合 SCAP 1.2 和 SCAP 1.3 标准的内容。openscap 扫描器实用程序与SCAP安全指南包中提供的SCAP 1.2和SCAP 1.3内容兼容。

重要

执行配置合规性扫描不能保证系统是合规的。

SCAP 安全指南套件以数据流文档的形式为多个平台提供配置文件。数据流是包含定义、基准、配置文件和单个规则的文件。每条规则都规定了合规的适用性和要求。RHEL 提供多个配置文件来遵守安全策略。除了行业标准之外,红帽数据流还包含用于修复失败规则的信息。

合规性扫描资源的结构

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |            |    ├──rule reference
   |            |    └──variable
   |            ├── rule
   |                 ├── human readable data
   |                 ├── ocil reference
   ├── ocil          ├── cpe reference
   └── cpe           └── remediation
Copy to Clipboard Toggle word wrap

配置文件是基于安全策略的一组规则,如 PCI-DSS 和健康保险可移植性和责任法案(HIPAA)。这可让您以自动化的方式审核系统,以符合安全标准。

您可以修改(定制)配置文件来自定义某些规则,例如密码长度。

有关配置集定制的更多信息,请参阅使用 autotailor 自定义安全配置集

5.2.2. OpenSCAP 扫描的可能结果
复制链接

根据应用到 OpenSCAP 扫描的数据流和配置文件,以及系统的各种属性,每个规则可能会产生一个特定的结果。以下是可能的结果,并有其含义的简要解释:

Pass
扫描没有发现与此规则有任何冲突。
Fail
扫描发现与此规则有冲突。
Not checked
OpenSCAP 对此规则不执行自动评估。手动检查您的系统是否符合此规则。
Not applicable
此规则不适用于当前配置。
Not selected
此规则不是配置文件的一部分。OpenSCAP 不评估此规则,也不会在结果中显示这些规则。
Error
扫描遇到了错误。要获得更多信息,您可以输入带有 --verbose DEVEL 选项的 oscap 命令。在红帽客户门户网站中有一个支持问题单,或在 Red Hat Jira 的 RHEL 项目中 创建一个问题单。
Unknown
扫描遇到了意外情况。要获得更多信息,您可以输入带有 --verbose DEVEL 选项的 oscap 命令。在红帽客户门户网站中有一个支持问题单,或在 Red Hat Jira 的 RHEL 项目中 创建一个问题单。

5.2.3. 查看配置文件是否符合配置合规
复制链接

在决定使用配置文件进行扫描或补救前,您可以使用 oscap info 子命令列出它们并检查其详细描述。

先决条件

  • openscap-scannerscap-security-guide 软件包已安装。

流程

  1. 列出 SCAP 安全指南项目所提供的带有安全合规配置文件的所有可用文件: 

    $ ls /usr/share/xml/scap/ssg/content/
ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

  2. 使用 oscap info 子命令显示有关所选数据流的详细信息。包含数据流的 XML 文件由其名称中的 -ds 字符串表示。在 Profiles 部分,您可以找到可用的配置文件及其 ID 列表: 

    $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Profiles:
…
  Title: Australian Cyber Security Centre (ACSC) ISM Official - Top Secret
		Id: xccdf_org.ssgproject.content_profile_ism_o_top_secret
	Title: PCI-DSS v4.0.1 Control Baseline for Red Hat Enterprise Linux 10
		Id: xccdf_org.ssgproject.content_profile_pci-dss
	Title: Red Hat STIG for Red Hat Enterprise Linux 10
		Id: xccdf_org.ssgproject.content_profile_stig

…
    Copy to Clipboard Toggle word wrap

  3. 从数据流文件中选择一个配置文件,并显示所选配置文件的更多详情。为此,可使用带有 --profile 选项的 oscap info ,后跟上一命令输出中显示的 ID 的最后一部分。例如,HIPPA 配置文件的 ID 是 xccdf_org.ssgproject.content_profile_hipaa--profile 选项的值是 hipaa

    $ oscap info --profile hipaa /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
…
Profile
	Title: Health Insurance Portability and Accountability Act (HIPAA)

	Description: The HIPAA Security Rule establishes U.S. national standards to protect individuals' electronic personal health information that is created, received, used, or maintained by a covered entity.
…
    Copy to Clipboard Toggle word wrap

5.2.4. 评估配置是否符合特定基准
复制链接

您可以确定您的系统或远程系统是否符合特定的基准,并使用 oscap 命令行工具将结果保存到报告中。

先决条件

  • openscap-scannerscap-security-guide 软件包已安装。
  • 您知道系统应遵守的基准中的配置文件的 ID。要查找 ID,请参阅 查看配置合规性的配置文件 部分。

步骤

  1. 扫描本地系统是否符合所选的配置文件,并将扫描结果保存到一个文件中: 

    $ oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    替换:

    • <scan_report.html >,带有 oscap 保存扫描结果的文件名。
    • <profile_ id> 带有系统应该遵守的配置集 ID,例如 hipaa

  2. 可选:扫描远程系统以确定是否符合所选的配置文件,并将扫描结果保存到一个文件中: 

    $ oscap-ssh <username>@<hostname> <port> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    替换:

    • 使用远程系统的用户名和主机名替换 <username>@<hostname>
    • 使用您可以通过其访问远程系统的端口号替换 <port>
    • <scan_report.html >,带有 oscap 保存扫描结果的文件名。
    • <profile_ id> 带有系统应该遵守的配置集 ID,例如 hipaa

您可以使用特定的安全基准评估容器或容器镜像的合规性,如支付卡行业数据安全标准(PCI-DSS)和健康保险可移植性和责任法案(HIPAA)。

先决条件

  • openscap-utilsscap-security-guide 软件包已安装。
  • 有对系统的 root 访问权限。

流程

  1. 查找容器或容器镜像的 ID:

    1. 要查找容器的 ID,请输入 podman ps -a 命令。
    2. 要查找容器镜像的 ID,请输入 podman images 命令。

  2. 评估容器或容器镜像是否符合配置文件,并将扫描结果保存到一个文件中: 

    # oscap-podman <ID> xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    替换:

    • 使用容器或容器镜像的 ID 替换 <ID>
    • <scan_report.html >,带有 oscap 保存扫描结果的文件名
    • <profile_ id> 带有系统应该遵守的配置集 ID,例如 hipaapci-dss

验证

  • 在您选择的浏览器中检查结果,例如: 

    $ firefox <scan_report.html> &
    Copy to Clipboard Toggle word wrap
注意

标记为 notapplicable 的规则仅适用于裸机和虚拟化系统,不适用于容器或容器镜像。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat