8.2. 漏洞扫描

Red Hat Enterprise Linux 安全审计功能基于安全内容自动化协议(SCAP)标准。SCAP 是一种多用途规格框架，支持自动化配置、漏洞和补丁检查、技术控制合规性活动和安全衡量。

SCAP 规范创建一个生态系统，其中安全内容的格式是众所周知的且标准化的，尽管扫描程序或策略编辑器的实现并不是强制性的。这使得组织能够一次性构建它们的安全策略（SCAP 内容），无论他们使用了多少家安全供应商。

开放式漏洞评估语言(OVAL)是 SCAP 最基本、最古老的组件。与其他工具和自定义脚本不同，OVAL 以声明式方法描述资源的必需状态。OVAL 代码从不直接执行，而是使用称为扫描器的 OVAL 解释器工具。OVAL 的声明性质可确保评估的系统状态不会被意外修改。

与所有其他 SCAP 组件一样，OVAL 也是基于 XML。SCAP 标准定义了多个文档格式。每一个都包括一种不同的信息，用于不同的目的。

红帽产品安全团队通过跟踪和调查影响红帽客户的所有安全问题，帮助客户评估和管理风险。它在红帽客户门户网站中提供及时、简洁的补丁和安全公告。红帽创建和支持 OVAL 补丁定义，提供机器可读的安全公告版本。

由于平台、版本和其他因素之间的差异，红帽产品安全团队的严重性评级不会直接与第三方提供的通用漏洞评分系统(CVSS)基准评级一致。因此，我们建议您使用 RHSA OVAL 定义，而不是第三方提供的定义。

RHSA OVAL 定义单独提供，并作为一个完整的软件包提供，并在红帽客户门户网站上提供新安全公告的一小时内进行更新。

每个 OVAL 补丁定义将一对一映射到红帽安全公告(RHSA)。由于 RHSA 可以包含对多个漏洞的修复，因此每个漏洞都通过其通用漏洞和风险(CVE)名称单独列出，并在我们的公共 bug 数据库中有一个指向其条目的链接。

RHSA OVAL 定义旨在检查系统上安装的 RPM 软件包是否存易受攻击的版本。可以扩展这些定义以包括进一步的检查，例如，查找软件包是否在易受攻击的配置中被使用。这些定义旨在涵盖红帽提供的软件和更新。需要其他定义来检测第三方软件的补丁状态。

注意

要扫描容器或容器镜像以了解安全漏洞，请参阅第 8.9 节 “扫描容器和容器镜像中的漏洞”。

其它资源

oscap命令行实用程序使您能够扫描本地系统，验证配置合规性内容，并根据这些扫描和评估生成报告和指南。此工具充当 OpenSCAP 库的前端，并根据它所处理的 SCAP 内容类型将其功能分组到模块（子命令）。

流程

下载系统的最新 RHSA OVAL 定义，例如：

~]# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml

扫描系统漏洞并将结果保存到 vulnerability.html 文件中：
```
~]# oscap oval eval --report vulnerability.html rhel-7.oval.xml
```

验证

注意

CVE OVAL 检查会搜索漏洞。因此，结果"True"意味着系统存在安全漏洞，而 "False" 表示扫描找不到任何漏洞。在 HTML 报告中，这可以通过结果行的颜色进一步区分。

其它资源

您还可以使用通过 SSH 协议的 oscap-ssh 工具，使用 OpenSCAP 扫描程序来检查远程系统的漏洞。

先决条件

流程

下载系统的最新 RHSA OVAL 定义：

~]# wget -O - https://www.redhat.com/security/data/oval/v2/RHEL7/rhel-7.oval.xml.bz2 | bzip2 --decompress > rhel-7.oval.xml

扫描 SSH 在端口 22 上运行、用户名为 joesec、主机名为 machine1 的远程系统上的漏洞，并将结果保存到 remote-vulnerability.html 文件中：
```
~]# oscap-ssh joesec@machine1 22 oval eval --report remote-vulnerability.html rhel-7.oval.xml
```

其它资源