SCAP Security Guide 0.1.26 (更新) — | サイオスOSS | サイオステクノロジー

2015.10.27

SCAP Security Guide 0.1.26 (更新)

SCAP Security Guide 0.1.26が公開されました。
ここでは、RHEL7でデフォルトで入っているものからの差分と
簡単なインストール方法を紹介します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回は、10/18にリリースされたSCAP Security Guide 0.1.26での差分について簡単に触れてみます。

 

  • SCAPとは

SCAP(Security Content Automation Protocol)とは、NISTによって開発されました、情報セキュリティ対策の自動化と標準化を目指して策定された技術仕様になります。

SCAP登場の背景など、詳しい情報はIPA「セキュリティ設定共通化手順SCAP概説」に詳しく記載されています。

また、Red Hat Enterprise Linuxでの対応に関しては、Red Hat Enterprise Linuxのセキュリティ対応に OpenSCAPを活用しように細かく記載されています。

  • SCAP Security Guide 0.1.26

新しいSCAP Security Guideの情報はリリースノートに詳しく載っています。また、同ページの下部にダウンロードリンクが貼られています。

  • 主な変更点

1. RHEL7のServer Profileが、2015/8/14に更改されたNIAP Protection Profile v4.0FMT_MOF_EXT1.1ベースになりました。

2. RHEL7 Server用に、PCI-DSS v3 Profileが導入されました。

3. 新たにChromium、Firefox、JRE、Webminがサポートされました。

  • 導入方法

導入方法は、SCAP-Security-GuideのサイトからダウンロードしたソースからRPMパッケージを作る方法と、Fedora Rawhideのサイトからダウンロードする方法の2種類あります。

今回は簡単に、Fedora RawhideからダウンロードしたRPMパッケージを使用します

1. 理研などのFedora Rawhideミラーからパッケージをダウンロードします。今回はRHEL7上でテストを行うので、src.rpmパッケージをダウンロードして、パッケージをRHEL7環境上で作成します。

2. rpm -ivhオプションで、一般ユーザでscap-security-guideのsrc.rpmパッケージをインストールします

[user@localhost ~]$ rpm -ivh scap-security-guide-0.1.26-1.fc24.src.rpm
警告: scap-security-guide-0.1.26-1.fc24.src.rpm: ヘッダー V3 RSA/SHA256 Signature、鍵 ID 81b46521: NOKEY
更新中 / インストール中...
1:scap-security-guide-0.1.26-1.fc24################################# [100%]
警告: ユーザー mockbuild は存在しません - root を使用します
警告: グループ mockbuild は存在しません - root を使用します
警告: ユーザー mockbuild は存在しません - root を使用します
警告: グループ mockbuild は存在しません - root を使用します
[user@localhost ~]$ ls
rpmbuild                                   テンプレート  ビデオ  公開
scap-security-guide-0.1.26-1.fc24.src.rpm  デスクトップ  音楽
ダウンロード                               ドキュメント  画像
[user@localhost ~]$ cd rpmbuild/
[user@localhost rpmbuild]$ ls
SOURCES  SPECS
[user@localhost rpmbuild]$ cd SPECS/
[user@localhost SPECS]$ rpmbuild -ba ./scap-security-guide.spec

3. “rpmbuild -ba [SPECファイル]”で、RPMパッケージを作成します。

[user@localhost SPECS]$ rpmbuild -ba ./scap-security-guide.spec
実行中(%prep): /bin/sh -e /var/tmp/rpm-tmp.nOE4yd
+ umask 022
+ cd /home/user/rpmbuild/BUILD
+ cd /home/user/rpmbuild/BUILD
+ /usr/bin/gzip -dc /home/user/rpmbuild/SOURCES/v0.1.26.tar.gz
+ /usr/bin/tar -xf -
+ STATUS=0
+ '[' 0 -ne 0 ']'
+ cd scap-security-guide-0.1.26
--------------省略---------------------
書き込み完了: /home/user/rpmbuild/SRPMS/scap-security-guide-0.1.26-1.el7.src.rpm
書き込み完了: /home/user/rpmbuild/RPMS/noarch/scap-security-guide-0.1.26-1.el7.noarch.rpm
書き込み完了: /home/user/rpmbuild/RPMS/noarch/scap-security-guide-doc-0.1.26-1.el7.noarch.rpm
実行中(%clean): /bin/sh -e /var/tmp/rpm-tmp.zKpAwx
+ umask 022
+ cd /home/user/rpmbuild/BUILD
+ cd scap-security-guide-0.1.26
+ /usr/bin/rm -rf /home/user/rpmbuild/BUILDROOT/scap-security-guide-0.1.26-1.el7.x86_64
+ exit 0

4. root権限で”rpm -Uvh”オプションを実行し、既存のscap-security-guideパッケージを更新します。

[user@localhost noarch]$ pwd
/home/user/rpmbuild/RPMS/noarch
[user@localhost noarch]$ sudo rpm -Uvh scap-security-guide-*
[sudo] password for user:
準備しています...              ################################# [100%]
更新中 / インストール中...
1:scap-security-guide-0.1.26-1.el7 ################################# [ 50%]
2:scap-security-guide-doc-0.1.26-1.################################# [100%]

5. rootユーザで”scap-workbench”のGUIツールを起動します。

6. “/usr/share/xml/scap/ssg/content”以下の”ssg-rhel7-xccdf.xml”ファイルをXCCDFファイルとして選択します。

7.”Profile”の箇所をクリックすると、元々あった「Red Hat Coproprate Profile for Cerified Cloud Providers (RH CCP)」以外にも、PCI-DSS v3など様々なプロファイルを選択することが可能となっています。

8. 試しにPCI-DSS v3を選択してSCANを実行します。

9. スキャン結果をレポートします。PCI-DSSがProfileとして使われています。

10. レポート結果を見てみると、GUIのロックなどの監査も追加されていることがわかります。

  • まとめ

scap-security-guideを更新することにより、PCI-DSSなど様々なプロファイルを用いてセキュリティ監査を実行することが簡単になります。いずれRHELの更新にも反映されていくと思われます。

[参考]

—–

タイトルとURLをコピーしました