第 8 章 扫描系统以了解配置合规和漏洞
合规审计是一个确定给定对象是否遵循合规策略中指定的所有规则的流程。合规策略由安全专业人员定义的,他们通常以检查清单的形式指定计算环境应使用的必要设置。
跨组织甚至同一组织内不同系统之间的合规政策可能有很大差异。这些政策之间的差异取决于每个系统的用途及其对组织的重要性。自定义软件设置和部署特征也需要自定义策略检查表。
8.1. RHEL 中的配置合规工具
Red Hat Enterprise Linux 提供了可让您执行完全自动化合规审计的工具。这些工具基于安全内容自动化协议(SCAP)标准,专为自动定制合规策略而设计。
- SCAP Workbench - scap-workbench 图形工具旨在对单个本地或远程系统执行配置和漏洞扫描。您还可以根据这些扫描和评估,使用它来生成安全报告。
- OpenSCAP - OpenSCAP 库以及附带的 oscap 命令行工具,旨在对本地系统执行配置和漏洞扫描,验证配置合规性内容,并根据这些扫描和评估生成报告和指南。
- SCAP 安全指南(SSG) - scap-security-guide 软件包为 Linux 系统提供最新的安全策略集合。该指南包括一个实用强化建议目录,在适用的情况下与政府的要求相关联。该项目弥补了一般性政策要求和具体实施指南间的差距。
- 脚本检查引擎(SCE) - SCE 是 SCAP 协议的扩展,可供管理员使用脚本语言(如 Bash、Python 和 Ruby)编写安全内容。SCE 扩展在 openscap-engine-sce 软件包中提供。SCE 本身不是 SCAP 环境的一部分。
要在多个系统上远程执行自动合规审计,您可以使用 Red Hat Satellite 的 OpenSCAP 解决方案。
其它资源
oscap (8)- oscap 命令行工具的手册页提供了可用选项及其用法的完整列表。- 红帽安全演示:创建自定义安全策略内容以自动化安全合规 - 一个动手实验室,使用 Red Hat Enterprise Linux 中包含的工具来获取自动化安全合规的初始经验,以符合行业标准安全策略和自定义安全策略。如果您希望为您的团队提供培训或访问这些实验室练习,请联系您的红帽客户团队以了解更多详细信息。
- 红帽安全演示:使用 RHEL 安全技术保护自己 - 一个动手实验室,了解如何使用 Red Hat Enterprise Linux 中可用的关键安全技术(包括 OpenSCAP)在所有 RHEL 系统级别实施安全性。如果您希望为您的团队提供培训或访问这些实验室练习,请联系您的红帽客户团队以了解更多详细信息。
scap-workbench (8)- SCAP Workbench 应用的手册页提供了有关应用程序的基本信息,以及 SCAP 内容潜在来源的链接。scap-security-guide (8)- scap-security-guide 项目的手册页提供了更多有关各种可用的 SCAP 安全配置集的文档。它还包含使用 OpenSCAP 工具提供的基准的示例。- 管理 Red Hat Satellite 指南中的安全合规管理提供了有关将 OpenSCAP 与 Red Hat Satellite 搭配使用的更多详情。
