OpenSCAP 사용하기

LPIC 303 공부 기록.

SCAP



ecurity Content Automation Protocol: 보안 설정 공통화 절차
각 시스템 관리자마다 보안 설정을 생각하고 있어는 비효율. 그래서 NIST(미국 국립 표준 기술 연구소)가 제정한 보안 관련 표준 사양.
자주 듣는 CVE도 SCAP의 일부로 정의됩니다.

OpenSCAP



취약성을 진단하고 수정할 수 있는 도구.

OpenSCAP 사용하기



이하, 대상 OS는 RHEL8.

사용법은 이하의 RedHat 의 문서에 써 있는 것으로 전부이지만, 이 페이지는 좀 더 초보자에게도 알기 쉬운 설명을 목적으로 한다.
https://access.redhat.com/documentation/ko-kr/red_hat_enterprise_linux/7/html/security_guide/vulnerability-scanning_scanning-the-system-for-configuration-compliance-and-vulnerabilities

설치



아래에서 설치
# dnf install openscap-scanner openscap-utils scap-security-guide bzip2

취약점 확인



RedHat에서는 새로운 RHSA(보안 권고, 즉 보안 패치)가 출시될 때마다 그 정보를 정리한 OVAL 정보가 공개된다.
이 정보를 바탕으로 자신의 서버에 적용되지 않는 보안 권고가 있는지 확인할 수 있습니다.
아래에서 OVAL 정의를 다운로드하고 배포합니다.
wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > rhel-8.oval.xml

아래에서 보고서를 생성합니다./var/www/html 아래에서 httpd로 공개해 두면 쉽게 볼 수 있을 것이다.
oscap oval eval --report /var/www/html/vulnerability.html rhel-8.oval.xml

다음과 같은 html 파일이 생성된다.
적용되지 않은 것은 오렌지, 적용된 것은 녹색으로 표시됩니다.
또한 RHSA 페이지와 CVE 페이지에 대한 링크도 편리합니다.



cron 또는 anacron으로 정기적으로 자동 생성하도록 하면 편할지도.

/etc/cron.daily/openscap
#!/bin/bash
tmpfile=$(mktemp)
wget -O - https://www.redhat.com/security/data/oval/v2/RHEL8/rhel-8.oval.xml.bz2 | bzip2 --decompress > $tmpfile
oscap oval eval --report /var/www/html/vulnerability.html $tmpfile
rm $tmpfile

cron과 anacron은 표준 출력으로 출력 된 내용을 메일로 보냅니다.
미적용 권고가 있는 경우에만 메일을 보내도록 하면 더욱 편리할지도.

보안 기준 확인



세상에는 다양한 단체가 다양한 보안기준을 OS별로 제정하고 있다.
미국 정부의 기준인 OSPP이거나, 지불 사업자를 위한 기준인 PCI-DSS이거나.
OpenSCAP에서 이러한 요구 사항을 충족하는지 확인할 수 있으며, 그렇지 않은 경우 자동으로 수정할 수 있습니다.

예를 들어 OSPP 요구 사항을 충족하는지 확인하려면 다음 명령을 실행합니다.
# oscap xccdf eval --report /var/www/html/report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

다음과 같은 보고서가 생성됩니다.
138의 규칙을 충족하지 못함. 전혀 안되는 느낌.



충족되지 않은 규칙 목록은 다음과 같이 표시됩니다.



규칙을 클릭하면 어떤 요구 사항인지, 왜 그렇게해야하는지에 대한 설명을 볼 수 있습니다.
[Remediation XXX]를 클릭하면 설정을 수정하는 쉘 스크립트와 Ansible 작업이 표시됩니다. 편리.



이것을 일괄로 시정하고 싶은 경우는, 옵션에 --remediate 를 붙인다.
이것으로 가능한 범위에서 설정을 시정해 준다.
또한 이것은 OS 설치 직후의 상태에서만 움직일 것을 보증되지 않으므로, 실행한다면 인스코 직후에만 해야 한다.
또한, 절환 방법은 준비되어 있지 않다. 만약을 위해 스냅샷을 찍어두면 좋을지도.
# oscap xccdf eval --profile ospp --remediate /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

상기를 실행한 후의 리포트는 이하.
NG는 35건까지 줄었다. 남아있는 NG는 파티션 등(/var/log는 다른 파티션으로 한다든가), 나중에는 어쩔 수 없는 녀석.



참고



htps //w w. 가득. . jp/세쿠리 ty/ゔl응/S 또는 P. HTML
https://access.redhat.com/documentation/ko-kr/red_hat_enterprise_linux/7/html/security_guide/vulnerability-scanning_scanning-the-system-for-configuration-compliance-and-vulnerabilities

좋은 웹페이지 즐겨찾기