搜索

8.3. 配置合规性扫描

download PDF

8.3.1. RHEL 7 中的配置合规性

您可以使用配置合规性扫描来遵循特定组织定义的基准。例如,如果您与美国政府合作,您可能需要遵守操作系统保护配置文件(OSPP),如果您是一个支付处理商,您可能必须遵循支付卡行业数据安全标准(PCI-DSS)。您还可以执行配置合规性扫描来强化您的系统安全。
红帽建议您遵循 SCAP 安全指南软件包中提供的安全内容自动化协议(SCAP)内容,因为它符合红帽针对受影响组件的最佳实践。
SCAP 安全指南软件包提供了符合 SCAP 1.2 和 SCAP 1.3 标准的内容。openscap 扫描器实用程序与SCAP安全指南包中提供的SCAP 1.2和SCAP 1.3内容兼容。
重要
执行配置合规性扫描不能保证系统是合规的。
SCAP 安全指南套件以数据流文档的形式为多个平台提供配置文件。数据流是包含定义、基准、配置文件和单个规则的文件。每条规则都规定了合规的适用性和要求。RHEL 7 提供多个配置文件来满足安全策略要求。除了行业标准之外,红帽数据流还包含用于修复失败规则的信息。

合规性扫描资源的结构

Data stream
   ├── xccdf
   |      ├── benchmark
   |            ├── profile
   |                ├──rule
   |                    ├── xccdf
   |                         ├── oval reference
   ├── oval                  ├── ocil reference
   ├── ocil                  ├── cpe reference
   └── cpe                   └── remediation

配置文件是基于安全策略的一组规则,如操作系统保护配置文件(OSPP)或支付卡行业数据安全标准(PCI-DSS)。这可让您以自动化的方式审核系统,以符合安全标准。
您可以修改(定制)配置文件来自定义某些规则,例如密码长度。有关配置集定制的更多信息,请参阅 第 8.7.2 节 “使用 SCAP Workbench 自定义安全配置文件”
注意
要扫描容器或容器镜像以了解配置合规性,请参阅 第 8.9 节 “扫描容器和容器镜像中的漏洞”

8.3.2. OpenSCAP 扫描的可能结果

根据您的系统的不同属性以及应用于 OpenSCAP 扫描的数据流和配置文件,每个规则可能会产生特定的结果。这是一个可能的结果列表,并简要解释了它们的含义。
表 8.1. OpenSCAP 扫描的可能结果
结果介绍
Pass扫描没有发现与此规则有任何冲突。
Fail扫描发现与此规则有冲突。
Not checkedOpenSCAP 对此规则不执行自动评估。手动检查您的系统是否符合此规则。
Not applicable此规则不适用于当前配置。
Not selected此规则不是配置文件的一部分。OpenSCAP 不评估此规则,也不会在结果中显示这些规则。
Error扫描遇到了错误。如需更多信息,您可以输入带有-verbose DEVEL 选项的 oscap-scanner 命令。考虑打开 bug 报告
Unknown扫描遇到了意外情况。如需更多信息,您可以输入带有-verbose DEVEL 选项的 oscap-scanner 命令。考虑打开 bug 报告

8.3.3. 查看配置合规性的配置集

在决定使用配置文件进行扫描或修复前,您可以使用 oscap info 子命令列出它们并检查其详细描述。

先决条件

  • 已安装 openscap-scannerscap-security-guide 软件包。

流程

  1. 列出 SCAP 安全指南项目提供的带有配置合规配置文件的所有可用文件:
    ~]$ ls /usr/share/xml/scap/ssg/content/
    ssg-firefox-cpe-dictionary.xml  ssg-rhel6-ocil.xml
    ssg-firefox-cpe-oval.xml        ssg-rhel6-oval.xml
    ...
    ssg-rhel6-ds-1.2.xml            ssg-rhel8-xccdf.xml
    ssg-rhel6-ds.xml
    ...
  2. 使用 oscap info 子命令显示关于所选数据流的详细信息。包含数据流的 XML 文件由其名称中的 -ds 字符串表示。在 Profiles 部分,您可以找到可用的配置文件及其 ID 列表:
    ~]$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    ...
    Profiles:
    	Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
    		Id: xccdf_org.ssgproject.content_profile_pci-dss
    	Title: OSPP - Protection Profile for General Purpose Operating Systems v. 4.2.1
    		Id: xccdf_org.ssgproject.content_profile_ospp
    ...
    
  3. 从数据流文件中选择一个配置文件,并显示所选配置文件的更多详情。为此,请使用带有 --profile 选项的 oscap info,后跟上一命令输出中显示的 ID 的后缀。例如,PCI-DSS 配置集的 ID 为: xccdf_org.ssgproject.content_profile_pci-dss,-- profile 选项的值可以是 _pci-dss
    ~]$ oscap info --profile _pci-dss /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    ...
    Profile
    	Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
    	Id: xccdf_org.ssgproject.content_profile_pci-dss
    
    	Description: Ensures PCI-DSS v3.2.1 related security configuration settings are applied.
    ...
  4. 另外,在使用 GUI 时,安装 scap-security-guide-doc 软件包并在网页浏览器中打开 file:///usr/share/doc/scap-security-guide-doc-0.1.46/ssg-rhel7-guide-index.html 文件。在 指南的右上方选择 Red Hat Enterprise Linux 7 安全配置 文档中的所需配置文件,您可以为后续评估在相关命令中看到已包含的 ID。

其它资源

  • scap-security-guide (8) 手册页还包含配置集列表。

8.3.4. 使用特定 Baseline 评估配置合规

要确定您的系统是否符合特定基准,请按照以下步骤操作:

先决条件

流程

  1. 使用所选配置文件评估系统的合规性,并将扫描结果保存在 report.html HTML 文件中,例如:
    ~]$ sudo oscap xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
  2. 可选:扫描带有 machine1 主机名、在端口 22 上运行的 SSH 的远程系统,以及 joesec 用户名中的漏洞,并将结果保存到 remote-report.html 文件中:
    ~]$ oscap-ssh joesec@machine1 22 xccdf eval --report remote_report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

其它资源

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.