第 7 章 管理安全合规性
安全合规管理是定义安全策略、审计符合这些策略并解决不合规实例的持续流程。任何非合规均根据机构的配置管理策略进行管理。安全策略涵盖了从主机特定于行业范围的范围,因此需要其定义灵活性。
7.1. 安全内容自动化协议
Satellite 6 使用安全内容自动化协议(SCAP)来定义安全配置策略。例如,安全策略可能会指定针对运行 Red Hat Enterprise Linux 的主机,不允许通过 SSH 登录 root 帐户。借助 Satellite 6,您可以调度管理所有主机上的合规性审计和报告。有关 SCAP 的更多信息,请参阅 Red Hat Enterprise Linux 7 安全指南。
7.1.1. SCAP 内容
SCAP 内容是一个数据流格式,包含主机要检查的配置和安全基准。检查清单以可扩展的清单配置描述格式(XCCDF)和开放漏洞和评估语言(OVAL)中的漏洞描述。检查清单项目,也称为规则表示系统项目所需的配置。例如,您可以指定没有人可以使用 root 用户帐户通过 SSH 登录主机。可将规则分组到一个或多个配置集中,允许多个配置集共享规则。SCAP 内容同时由规则和配置集组成。
您可以创建 SCAP 内容或从供应商获取它。在 scap-security-guide 软件包中,为 Red Hat Enterprise Linux 提供了支持的配置集。创建 SCAP 内容超出了本指南的范围,但请参见 Red Hat Enterprise Linux 7 安全指南 来获得有关如何下载、部署、修改和创建您自己的内容的信息。
由 Satellite 6 的 OpenSCAP 组件提供的默认 SCAP 内容取决于 Red Hat Enterprise Linux 的版本。Red Hat Enterprise Linux 7 中已安装 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的内容。
7.1.2. XCCDF Profile
XCCDF 配置集是一个检查主机或主机组的清单。创建配置集来验证与行业标准或自定义标准的合规性。
通过 Satellite 6 提供的配置集从 OpenSCAP 项目 获取。
7.1.2.1. 列出可用的 XCCDF 配置集
在 Satellite UI 中,列出可用的 XCCD 配置集。
流程
- 进入 Hosts > SCAP contents。
