第 58 章 安全性
OpenSCAP rpmverifypackage 无法正常工作
rpmverifypackage 探测调用 chdir 和 chroot 系统调用两次。因此,当使用自定义 Open Vulnerability 和评估语言(OVAL)内容的 OpenSCAP 扫描过程中使用探测时会出现一个错误。
要临时解决这个问题,请不要在您的内容中使用
rpmverifypackage_test OVAL 测试,或者只使用 rpmverifypackage_test 的 scap-security-guide 软件包中的内容。(BZ#1603347)
OVAL 不会检查 dconf 数据库
SCAP 安全指南项目中使用的 OVAL (开源漏洞和评估语言)检查无法读取 dconf 二进制数据库,而只有用于生成数据库的文件。数据库不会被自动重新生成,管理员需要输入 dconf update 命令。因此,无法通过扫描来检测到对没有使用 /etc/dconf/db/ 目录中的文件进行的数据库的更改。这可能导致假的负结果。
SCAP Workbench 无法从定制的配置集生成基于结果的补救方法
当尝试使用
SCAP Workbench 工具从自定义配置集生成基于结果的补救角色时,会出现以下错误:
Error generating remediation role '.../remediation.sh': Exit code of 'oscap' was 1: [output truncated]
OpenSCAP 扫描程序结果包含很多 SELinux 上下文错误消息
即使它不是真正错误,
OpenSCAP 扫描程序也无法在 ERROR 级别获取 SELinux 上下文。因此,OpenSCAP 扫描程序结果包含很多 SELinux 上下文错误消息。由于这一原因,oscap 命令行工具和 SCAP Workbench 图形化实用程序输出都很难读取。(BZ#1640522)
oscap 扫描使用过多的内存
在扫描的整个生命周期内,开放漏洞评估语言(OVAL)探测的结果数据保存在内存中,生成报告也是内存密集型过程。因此,扫描非常大的文件系统时,
oscap 进程可能会占用所有可用内存,并由操作系统终止。
要临时解决这个问题,请使用定制来排除扫描完整文件系统的规则并单独运行它们。此外,请勿使用 --oval-results 选项。因此,如果您减少处理的数据量,则因为过量使用内存,系统扫描不会崩溃。(BZ#1548949)
