- 介绍
- 安装 OpenSCAP
2.1. 获取 SCAP 内容 - 显示有关 SCAP 内容的信息
3.1. 显示有关 SCAP 源数据流的信息
3.2. 显示有关 SCAP 结果数据流的信息 - 扫描
4.1. 使用 SCAP 源数据流进行扫描
4.2. 选择 SCAP 源数据流组件
4.3. 评估独立 OVAL 定义
4.4. 评估 XCCDF
4.5. 生成与 STIG 查看器兼容的结果 - 修复系统
5.1. 扫描期间进行修复
5.2. 扫描后进行修复
5.3. 审查修复 - 裁剪
6.1. 创建裁剪文件
6.2. 使用裁剪文件 - 使用脚本检查引擎(SCE)进行扫描
- 验证 SCAP 内容
8.1. 验证 SCAP 源数据流中的数字签名 - 生成报告、指南和脚本
9.1. 生成 HTML 指南
9.2. 生成 HTML 报告
9.3. 生成 bash 脚本
9.4. 生成 Ansible 剧本
9.5. 生成图像构建器蓝图 - 关于 SCAP 一致性的详细信息
10.1. 检查引擎
10.2. CVE、CCE、CPE 和其他标识符
10.3. 捆绑的 CCE 数据
10.4. CPE 适用性
10.4.1. xccdf:platform 适用性解析
10.4.2. cpe:fact-ref 和 cpe2:fact-ref 解析
10.4.3. 内置 CPE 命名字典
10.5. 关于多个 OVAL 值概念的注意事项
10.5.1. 变量值的来源
10.5.2. 多个 OVAL 值的评估
10.5.3. 多值
10.5.4. 多集
10.6. 评估具有多个检查的 XCCDF 规则
10.7. 识别 SWID 标签
10.8. OVAL 实现的具体注意事项 - 接受的环境变量列表
- 使用外部或远程资源
- 实际示例
13.1. 使用 SCAP 安全指南审核系统设置
13.2. 审核 Red Hat 产品的安全漏洞
13.2.1. OVAL + XCCDF
13.2.2. 仅 OVAL
13.2.3. 源数据流
13.2.4. 更专业的文件
13.2.5. 免责声明
13.3. 如何在 RHEL7 上评估 PCI-DSS
13.4. 如何评估 DISA STIG
13.5. 如何评估美国政府配置基线(USGCB)
13.6. 如何评估第三方指南
13.7. 如何检查 Red Hat Enterprise Linux 6 或 7 上的补丁是否是最新的 - 扫描远程和虚拟机或容器
14.1. 扫描远程机器
14.2. 使用 oscap-podman 扫描容器和容器镜像
14.3. 使用 oscap-docker 扫描 Docker 容器和镜像
14.4. 使用 oscap-vm 扫描虚拟机
14.5. 使用 oscap-chroot 扫描任意文件系统 - 在启动时扫描和修复系统
- 常见问题解答(FAQs)
本文档提供了有关 OpenSCAP 及其最常见操作的信息。使用 OpenSCAP,您可以检查系统的安全配置设置,并使用基于标准和规范的规则检查系统是否存在被入侵的迹象。
OpenSCAP 使用 SCAP,这是由美国国家标准与技术研究院(NIST)维护的一系列规范。SCAP 的创建是为了提供一种标准化的方法来维护系统安全。新的规范由 NIST 的 SCAP 发布周期管理,以提供一致且可重复的修订工作流程。OpenSCAP 主要处理 XCCDF,这是一种表达检查表内容的标准方式,并定义安全检查表。它还与其他规范(如 CPE、CCE 和 OVAL)结合使用,以创建可由经过 SCAP 验证的产品处理的以 SCAP 表达的检查表。有关 SCAP 的更多信息,请参考 SCAP 标准。
OpenSCAP 支持 SCAP 1.3,并向后兼容 SCAP 1.2、SCAP 1.1 和 SCAP 1.0。导入和处理早期版本的 SCAP 内容不需要特殊处理。
如果您要对本地系统执行配置或漏洞扫描,则必须具备以下条件:
- 一个工具(oscap 或 SCAP 工作台)
- SCAP 内容(SCAP 源数据流、XCCDF、OVAL……)
oscap 工具是 OpenSCAP 项目的一部分。如果您对这个工具的图形化替代方案感兴趣,请访问 SCAP 工作台页面。
我们将使用 SCAP 安全指南项目为我们提供 SCAP 内容。它以 SCAP 文档的形式提供安全策略,涵盖了许多安全合规领域,并实现了受尊敬的权威机构推荐的安全指南,即 PCI DSS、STIG 和 USGCB。
如果您至少了解 XCCDF 或 OVAL,也可以生成自己的 SCAP 内容。XCCDF 内容也经常在开源许可证下在线发布,您可以根据自己的需要定制此内容。SCAP 工作台是进行定制的好工具。
您可以从源代码构建 OpenSCAP,也可以使用您的 Linux 发行版的现有构建。
有关从源代码构建的说明,请参考 OpenSCAP 开发人员手册。
要在 Red Hat Enterprise Linux 8 及更高版本、CentOS 8 及更高版本或 Fedora 上安装 OpenSCAP,请使用以下命令:
要在 Red Hat Enterprise Linux 7 或 CentOS 7 或更早版本上安装 OpenSCAP,请使用以下命令:
要在 Debian 或 Ubuntu 上安装 OpenSCAP,请使用以下命令:
安装完成后,您可以开始使用 oscap 命令行工具。
要显示 OpenSCAP 的版本、支持的规范、内置 CPE 名称和支持的 OVAL 对象,请输入以下命令:
要使用 OpenSCAP 执行任何任务,您还需要具有 SCAP 格式的安全策略。我们称它们为 SCAP 内容。有许多 SCAP 内容的提供商。
在本文档中,我们将使用 SCAP 安全指南(SSG)提供的 SCAP 内容。许多 Linux 发行版在 scap-security-guide 包中提供它。
要在 Red Hat Enterprise Linux 8 及更高版本、CentOS 8 及更高版本或 Fedora 上安装 scap-security-guide,请使用以下命令:
要在 Red Hat Enterprise Linux 7 或 CentOS 7 或更早版本上安装 scap-security-guide,请使用以下命令:
SCAP 内容将安装在目录中。
在其他平台上,您可以从 GitHub 上下载上游版本。
当 SCAP 内容安装在您的系统上时,oscap 可以通过指定内容的文件路径来处理内容。
您也可以使用任何其他 SCAP 内容与 OpenSCAP 一起使用。
有关 SCAP 文件的信息可以使用 oscap info 命令显示。
3.1. 显示有关 SCAP 源数据流的信息
最常见的 SCAP 文件类型是 SCAP 源数据流。在下面的示例中,我们将显示来自 scap-security-guide 包的的 SCAP 源数据流的信息。
文档类型描述文件的格式。常见类型包括 XCCDF、OVAL、源数据流和结果数据流。
导入是文件被导入以供 OpenSCAP 使用的日期。由于 OpenSCAP 使用本地文件系统并且没有专有的数据库格式,因此导入日期与文件修改日期相同。
流是数据流 ID。
版本是 SCAP 标准的版本。
检查表列出了数据流中包含的可用检查表,您可以在使用 oscap xccdf eval 时将其用于命令行属性。每个检查表也都有详细的信息打印出来。
状态是 XCCDF 基准状态。常见值包括“已接受”、“草稿”、“已弃用”和“不完整”。请参考 XCCDF 规范以获取详细信息。
生成日期是文件创建或生成的日期。此日期显示在 XCCDF 文件和检查表中,并来自 XCCDF 状态元素。
配置文件列出了可用的配置文件、它们的标题和 ID,您可以在使用命令行属性时使用。
检查和字典列出了给定数据流中的 OVAL 检查组件和 CPE 字典组件。
要显示有关配置文件的更详细信息,包括配置文件描述,请使用选项后跟配置文件 ID。
3.2. 显示有关 SCAP 结果数据流的信息
oscap info 命令对其他 SCAP 文件类型(如 SCAP 结果数据流(ARF)文件)也很有帮助。
OpenSCAP 可以在给定 ARF 文件时显示评估的开始和结束日期。
在这个例子中,我们将显示 ARF 文件的信息。
OpenSCAP 的主要目标是对本地系统进行配置和漏洞扫描。OpenSCAP 能够评估 SCAP 源数据流、XCCDF 基准和 OVAL 定义,并生成适当的结果。
SCAP 内容可以以单个文件(作为 SCAP 源数据流)或多个单独的 XML 文件的形式提供。
4.1. 使用 SCAP 源数据流进行扫描
通常,所有必需的输入文件都捆绑在一个 SCAP 源数据流中。使用 SCAP 源数据流进行扫描可以通过 oscap xccdf eval 命令执行,并且有一些其他参数可用。oscap xccdf eval 命令的基本语法如下:
其中:
- 是 XCCDF 配置文件的 ID。
- 是将以 SCAP 结果数据流格式(ARF)生成结果的文件路径。
- 是将生成 HTML 格式报告的文件路径。
- 是要评估的 SCAP 源数据流的文件路径。
例如,要评估来自的 SCAP 源数据流中的配置文件,请运行此命令:
进度和结果将显示在终端中。完整结果将以 results.xml 作为 SCAP 结果数据流生成。详细结果可以在 HTML 报告 report.html 中找到。
4.2. 选择 SCAP 源数据流组件
要评估特定 SCAP 源数据流中的特定 XCCDF 基准,请使用以下命令:
其中:
- 是要评估的元素的 ID。
- 是指向所需 XCCDF 文档的元素的 ID。
- 是包含以 SCAP 结果数据流形式的扫描结果的文件。
- 是 SCAP 源数据流文件。
要评估 SCAP 源数据流中的特定 XCCDF 基准,请使用以下选项:
其中:
- 是表示 SCAP 源数据流的文件。
- 是包含组件的的“id”属性的值。
- 是包含以 SCAP 结果数据流形式的扫描结果的文件。
4.3. 评估独立 OVAL 定义
要评估给定 OVAL 定义文件中的 OVAL 定义,可以使用 oscap oval eval 命令。其基本形式如下:
其中:
- 是 OVAL 定义文件。
- 是 OVAL 结果文件将存储的路径。
可以使用选项选择并评估给定 OVAL 定义文件中的一个特定定义:
其中,正在评估的 OVAL 定义的 ID 为,是 OVAL 定义文件,是 OVAL 结果文件。
要评估作为特定数据流组件的一部分的 OVAL 组件中的所有定义,可以运行以下命令:
其中是特定数据流的 ID,是指定 OVAL 组件的 XCCDF 文件,是 OVAL 结果文件,是 SCAP 源数据流集合。
当 SCAP 内容由多个 XML 文件表示时,OVAL 定义文件可以与 XCCDF 文件一起分发。在这种情况下,OVAL 定义可能依赖于在扫描期间从 XCCDF 文件导出的变量,并且单独评估 OVAL 定义将产生误导性结果。因此,任何外部变量都必须导出到一个特殊文件中,该文件在 OVAL 定义评估期间使用。以下命令是这种情况的示例:
其中代表 XCCDF 文档中的一个配置文件,是指定 XCCDF 文档的文件,是 OVAL 定义文件,是包含从 XCCDF 文件导出的变量的文件,是 OVAL 结果文件。
可以使用 OVAL 指令文件来控制结果是“精简”还是“完整”。OpenSCAP 可以使用选项加载此文件。
一个启用精简结果而不是完整结果的 OVAL 指令文件示例:
如果您的用例需要精简的 OVAL 结果,您很可能还希望省略系统特征。您可以使用选项来实现这一点。
在扫描普通 OVAL 文件时使用 OVAL 指令文件:
在从源数据流扫描 OVAL 组件时使用 OVAL 指令文件:
当多个文件分发时,并不总是清楚将使用哪个 OVAL 文件。如果您正在评估一个 XCCDF 文件,您可以使用:
在输出中,您可以看到所有引用的检查文件。在这种情况下,我们看到引用了。要查看此文件的内容,您可以在文本编辑器中打开它。
您也可以对源数据流文件使用 oscap info。源数据流通常会引用捆绑在其中的 OVAL 文件。也可以使用 oscap ds sds-split 从源数据流中提取 OVAL 文件。
在分割源数据流后,您可以使用文本编辑器单独检查 OVAL 和 XCCDF 文件。请记住,这只是一个示例,文件名取决于您正在分割的源数据流的内容,并且您也可以直接在源数据流或结果数据流中检查 XCCDF 和 OVAL 内容。
4.4. 评估 XCCDF
在评估 XCCDF 基准时,oscap 通常处理 XCCDF 文件、OVAL 文件和 CPE 字典。它执行系统分析并根据此分析生成 XCCDF 结果。XCCDF 检查表中每个规则的扫描结果打印到标准输出流。与规则相关的 CVE 和 CCE 标识符也会被打印出来。以下是单个 XCCDF 规则的示例输出:
结果的含义由 XCCDF 规范定义。此表列出了单个规则的可能结果:
CPE 字典用于确定内容是否适用于目标平台。任何不适用的内容将导致每个相关的 XCCDF 规则被评估为“不适用”。
以下示例显示了 XCCDF 基准评估的最常见场景:
要评估 XCCDF 文件中的特定配置文件,请运行此命令:
其中是 XCCDF 文档,是从 XCCDF 文档中选择的配置文件,是存储扫描结果的文件,是 CPE 字典。
您可以向上述命令添加选项以评估特定规则:
其中是来自配置文件的唯一要评估的规则。
选项可以多次使用以一次评估多个规则。
您可以使用选项跳过一些规则。
在上面的示例中,我们使用命令行参数生成 XCCDF 结果文件。您可以使用生成 SCAP 结果数据流(也称为 ARF - 资产报告格式)XML。
4.5. 生成与 STIG 查看器兼容的结果
DISA STIG 查看器是一个图形用户界面(GUI)应用程序,可轻松查看以 SCAP 格式的安全技术实施指南(STIG)。有关 DISA STIG 查看器的更多信息,请参阅 SRG / STIG 工具网站。
即使在评估使用与官方 DISA STIG 格式不同的规则 ID 的 SCAP 内容时,OpenSCAP 也可以生成与 STIG 查看器兼容的结果,例如,来自 scap-security-guide 包的内容或第三方内容。
要生成与 STIG 查看器兼容的结果,SCAP 源数据流中的每个规则都必须包含对 STIG 规则 ID 的引用,并且属性的值必须是或。
例如:
在下面的示例中,我们使用 scap-security-guide RPM 包提供的文件。此数据流文件满足规则的两个先决条件。
- 使用 oscap 命令和选项扫描您的系统。
- 下载您选择的 STIG 文件,例如,从 STIGs 文档库中,并解压它。STIG 的版本必须符合配置文件的版本。
- 在 STIG 查看器中,点击“文件”,然后点击“导入 STIG”。然后,在左侧的 STIG 面板中选择 STIG。点击“检查表”,然后点击“创建检查表 - 检查标记的 STIG”。
- 通过点击“导入”,然后点击“XCCDF 结果文件”导入 OpenSCAP 扫描结果。找到在步骤 1 中获得的文件。STIG 查看器随后显示结果。
OpenSCAP 允许自动修复被发现处于不合规状态的系统。对于系统修复,SCAP 内容中的规则需要附加修复脚本。例如,scap-security-guide 包中的 SCAP 源数据流包含带有修复脚本的规则。
系统修复包括以下步骤:
- oscap 命令执行常规的 XCCDF 评估。
- 通过评估 OVAL 定义对结果进行评估。每个失败的规则都被标记为修复的候选。
- oscap 程序搜索适当的元素,解析它,准备环境,并执行修复脚本。
- 修复脚本的任何输出都由 oscap 捕获并存储在元素中。修复脚本的返回值也被存储。
- 每当 oscap 执行修复脚本时,它会立即再次评估 OVAL 定义(以验证修复脚本是否已正确应用)。在第二次运行期间,如果 OVAL 评估返回成功,则规则的结果被修复,否则为错误。
修复的详细结果存储在输出的 XCCDF 文件中。它包含两个元素。第一个元素表示修复前的扫描。第二个是从第一个派生的,并包含修复结果。
oscap 在修复方面有三种操作模式:在线、离线和审查。
5.1. 扫描期间进行修复
修复脚本可以在扫描时执行。评估和修复作为单个命令的一部分执行。
要在扫描期间启用修复,请使用 oscap xccdf eval 命令并带有命令行选项。
在这个例子中,我们将在评估 OSPP 配置文件时执行修复:
此命令的输出由两部分组成。第一部分显示修复前的扫描结果,第二部分显示应用修复后的扫描结果。第二部分只能包含已修复和错误结果。已修复结果表示修复后的扫描通过。错误结果表示即使应用了修复,评估仍然不通过。
5.2. 扫描后进行修复
此功能允许您推迟修复执行。
第一步,系统仅被评估,结果存储在 XCCDF 结果文件中的元素中。
第二步,oscap 执行修复脚本并验证结果。将结果存储在输入文件中是安全的,不会丢失任何数据。在离线修复期间,基于输入创建一个新的元素,并继承所有数据。新创建的仅在失败的元素上有所不同。对于这些元素,执行修复。
例如:
$ oscap xccdf eval --profile Desktop --results pre-remediation.xml --cpe cpe-dictionary.xml scap-xccdf.xml
$ oscap xccdf remediate --results pre-remediation.xml --profile Desktop --cpe cpe-dictionary.xml scap-xccdf.xml
$ oscap xccdf eval --profile Desktop --results review.xml --cpe cpe-dictionary.xml scap-xccdf.xml --review
您可以将此脚本安排为定期运行,以确保系统的安全性和合规性。
OpenSCAP 是一个强大的工具,用于评估和修复系统的安全性和合规性。通过使用 oscap 命令,您可以执行各种任务,包括评估 XCCDF 和 OVAL 内容、生成结果文件、执行修复以及集成到自动化流程中。
在使用 OpenSCAP 时,请确保了解 SCAP 标准,并根据您的特定需求选择适当的配置文件和规则。通过定期评估和修复系统,您可以提高系统的安全性和合规性,减少安全风险。
到此这篇pcap文件怎么看(如何查看pcap文件)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/cjjbc/46768.html