OpenSCAP : インストール2019/12/18

SCAP (Security Content Automation Protocol) 標準に基づいたシステムのセキュリティ監査や脆弱性スキャンが可能な OpenSCAP のインストールです。

SCAP の概要は以下を参照ください。
⇒ https://www.ipa.go.jp/security/vuln/SCAP.html

OVAL  (Open Vulnerability and Assessment Language)
       ⇒ 脆弱性を評価するための標準化された仕様

XCCDF (Extensible Configuration Checklist Description Format)
       ⇒ XML フォーマットのセキュリティ設定チェックリスト

OCIL  (Open Checklist Interactive Language)
       ⇒ ユーザーとの質疑応答を解釈するフレームワーク

CPE   (Common Platform Enumeration)
       ⇒ ハードやソフト等を識別するための命名基準

CCE   (Common Configuration Enumeration)
       ⇒ 各セキュリティ項目にユニーク ID を割り当てる仕様

CVE   (Common Vulnerabilities and Exposures)
       ⇒ 個別製品の脆弱性に割り当てられた一意の識別番号

CVSS  (Common Vulnerability Scoring System)
       ⇒ 脆弱性を評価してスコアでランク付けするメトリクスシステム

[1]

OpenSCAP コマンドラインツールおよび Linux 向けのセキュリティポリシーが定義された SCAP Security Guide をインストールします。

[root@dlp ~]#

yum -y install openscap-scanner scap-security-guide

[2]	SCAP Security Guide は [/usr/share/xml/scap/ssg/content] 配下にインストールされます。

[root@dlp ~]#

ll /usr/share/xml/scap/ssg/content/

total 115576
-rw-r--r--. 1 root root 15538695 Aug 23 23:22 ssg-centos6-ds.xml
-rw-r--r--. 1 root root  5086947 Aug 23 23:22 ssg-centos6-xccdf.xml
-rw-r--r--. 1 root root 25972220 Aug 23 23:22 ssg-centos7-ds.xml
-rw-r--r--. 1 root root  8156658 Aug 23 23:22 ssg-centos7-xccdf.xml
-rw-r--r--. 1 root root      546 Aug 23 23:21 ssg-firefox-cpe-dictionary.xml
.....
.....

# 各コンテンツの概要を表示するには以下

[root@dlp ~]#

oscap info /usr/share/xml/scap/ssg/content/ssg-centos7-xccdf.xml

Document type: XCCDF Checklist
Checklist version: 1.1
Imported: 2019-08-23T23:22:14
Status: draft
Generated: 2019-08-23
Resolved: true
Profiles:
        Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 7
                Id: pci-dss
        Title: Standard System Security Profile for Red Hat Enterprise Linux 7
                Id: standard
Referenced check files:
        ssg-rhel7-oval.xml
                system: http://oval.mitre.org/XMLSchema/oval-definitions-5
        ssg-rhel7-ocil.xml
                system: http://scap.nist.gov/schema/ocil/2
        https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2
                system: http://oval.mitre.org/XMLSchema/oval-definitions-5

[3]	[oscap] コマンドでシステムをスキャンします。書式は以下の通りです。 ⇒ $ oscap [オプション] module eval [モジュール操作のオプションおよび引数]

# 例として [xccdf] モジュールの [standard] プロファイルでスキャンし [ssg-centos7-xccdf.html] ファイルに書き出す

[root@dlp ~]#

oscap xccdf eval --profile standard --report ssg-centos7-xccdf.html /usr/share/xml/scap/ssg/content/ssg-centos7-xccdf.xml

.....
.....

Title   Ensure All SUID Executables Are Authorized
Rule    file_permissions_unauthorized_suid
Result  pass

Title   Verify that All World-Writable Directories Have Sticky Bits Set
Rule    dir_perms_world_writable_sticky_bits
Result  pass

Title   Disable the Automounter
Rule    service_autofs_disabled
Result  notapplicable