OpenSCAP研究1
首先從名詞下手,SCAP意思是:
前面多了Open只是增加"開放式",顧名思義OpenSCAP:
Open Security Content Automation Protocol
看了看一些YT影片示範,就是針對一些Linux系統進行弱點掃描的工具
甚至可以針對image掃描(YT-LINK)
為了快速瞭解這東西再玩甚麼,快速跑一下官網的Getting Started:
首先搞一台RHEL的機台開始
#更新安裝套件庫:
sudo yum update -y
#執行實際安裝(裡面包含很多相關工具了):
sudo yum install scap-workbench -y
不過後來發現官網doc寫得很簡陋,連啟動怎麼搞都沒寫
只是往github找資源:
#執行確認版本指令:
oscap --version
由於我用的環境可能沒有UI介面,所以後面只用指令做相關操作
#在以下路徑會有系統掃描的相關security policies文件
#(或是找SCAP Security Guide提供的):
ls -1 /usr/share/xml/scap/ssg/content/ssg-*-ds.xml
可能會選擇上面的ssg-rhel8-ds.xml
#透過以下指令查看內容:
oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
如上圖會有很多不同Title的"Profiles"對應的id
Profile內才有實際掃描規則
#實際掃描指令:
oscap xccdf eval --profile {PROFILE_ID} --results-arf {ARF_FILE} --report {REPORT_FILE} {SOURCE_DATA_STREAM_FILE例如剛剛的ssg-rhel8-ds.xml}所以以我目前開的RHEL8機台本身座掃描可能可以隨意選個profile組成
#RHEL8機台自掃指令:
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_ospp \
--results-arf results.xml \
--report report.html \
/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml相關解說:
在執行目錄上就會看到:
抓到本機用chrome來看:
會看到很多檢核(有過沒過):
點開隨便一項fail的可以看到詳細解說:
另一個SCAP結果檔ARF(xml)格式的:
後面應該要研究怎麼掃遠端其他機台或是image(Container)系統
