SCAP Security Guide 0.1.26 (更新)
ここでは、RHEL7でデフォルトで入っているものからの差分と
簡単なインストール方法を紹介します。
こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。
今回は、10/18にリリースされたSCAP Security Guide 0.1.26での差分について簡単に触れてみます。
SCAPとは
SCAP(Security Content Automation Protocol)とは、NISTによって開発されました、情報セキュリティ対策の自動化と標準化を目指して策定された技術仕様になります。
SCAP登場の背景など、詳しい情報はIPA「セキュリティ設定共通化手順SCAP概説」に詳しく記載されています。
また、Red Hat Enterprise Linuxでの対応に関しては、Red Hat Enterprise Linuxのセキュリティ対応に OpenSCAPを活用しように細かく記載されています。
SCAP Security Guide 0.1.26
新しいSCAP Security Guideの情報はリリースノートに詳しく載っています。また、同ページの下部にダウンロードリンクが貼られています。
主な変更点
1. RHEL7のServer Profileが、2015/8/14に更改されたNIAP Protection Profile v4.0のFMT_MOF_EXT1.1ベースになりました。
2. RHEL7 Server用に、PCI-DSS v3 Profileが導入されました。
3. 新たにChromium、Firefox、JRE、Webminがサポートされました。
導入方法
導入方法は、SCAP-Security-GuideのサイトからダウンロードしたソースからRPMパッケージを作る方法と、Fedora Rawhideのサイトからダウンロードする方法の2種類あります。
今回は簡単に、Fedora RawhideからダウンロードしたRPMパッケージを使用します
1. 理研などのFedora Rawhideミラーからパッケージをダウンロードします。今回はRHEL7上でテストを行うので、src.rpmパッケージをダウンロードして、パッケージをRHEL7環境上で作成します。
2. rpm -ivhオプションで、一般ユーザでscap-security-guideのsrc.rpmパッケージをインストールします
[user@localhost ~]$ rpm -ivh scap-security-guide-0.1.26-1.fc24.src.rpm 警告: scap-security-guide-0.1.26-1.fc24.src.rpm: ヘッダー V3 RSA/SHA256 Signature、鍵 ID 81b46521: NOKEY 更新中 / インストール中... 1:scap-security-guide-0.1.26-1.fc24################################# [100%] 警告: ユーザー mockbuild は存在しません - root を使用します 警告: グループ mockbuild は存在しません - root を使用します 警告: ユーザー mockbuild は存在しません - root を使用します 警告: グループ mockbuild は存在しません - root を使用します [user@localhost ~]$ ls rpmbuild テンプレート ビデオ 公開 scap-security-guide-0.1.26-1.fc24.src.rpm デスクトップ 音楽 ダウンロード ドキュメント 画像 [user@localhost ~]$ cd rpmbuild/ [user@localhost rpmbuild]$ ls SOURCES SPECS [user@localhost rpmbuild]$ cd SPECS/ [user@localhost SPECS]$ rpmbuild -ba ./scap-security-guide.spec
3. “rpmbuild -ba [SPECファイル]”で、RPMパッケージを作成します。
[user@localhost SPECS]$ rpmbuild -ba ./scap-security-guide.spec 実行中(%prep): /bin/sh -e /var/tmp/rpm-tmp.nOE4yd + umask 022 + cd /home/user/rpmbuild/BUILD + cd /home/user/rpmbuild/BUILD + /usr/bin/gzip -dc /home/user/rpmbuild/SOURCES/v0.1.26.tar.gz + /usr/bin/tar -xf - + STATUS=0 + '[' 0 -ne 0 ']' + cd scap-security-guide-0.1.26 --------------省略--------------------- 書き込み完了: /home/user/rpmbuild/SRPMS/scap-security-guide-0.1.26-1.el7.src.rpm 書き込み完了: /home/user/rpmbuild/RPMS/noarch/scap-security-guide-0.1.26-1.el7.noarch.rpm 書き込み完了: /home/user/rpmbuild/RPMS/noarch/scap-security-guide-doc-0.1.26-1.el7.noarch.rpm 実行中(%clean): /bin/sh -e /var/tmp/rpm-tmp.zKpAwx + umask 022 + cd /home/user/rpmbuild/BUILD + cd scap-security-guide-0.1.26 + /usr/bin/rm -rf /home/user/rpmbuild/BUILDROOT/scap-security-guide-0.1.26-1.el7.x86_64 + exit 0
4. root権限で”rpm -Uvh”オプションを実行し、既存のscap-security-guideパッケージを更新します。
[user@localhost noarch]$ pwd /home/user/rpmbuild/RPMS/noarch [user@localhost noarch]$ sudo rpm -Uvh scap-security-guide-* [sudo] password for user: 準備しています... ################################# [100%] 更新中 / インストール中... 1:scap-security-guide-0.1.26-1.el7 ################################# [ 50%] 2:scap-security-guide-doc-0.1.26-1.################################# [100%]
5. rootユーザで”scap-workbench”のGUIツールを起動します。
6. “/usr/share/xml/scap/ssg/content”以下の”ssg-rhel7-xccdf.xml”ファイルをXCCDFファイルとして選択します。
7.”Profile”の箇所をクリックすると、元々あった「Red Hat Coproprate Profile for Cerified Cloud Providers (RH CCP)」以外にも、PCI-DSS v3など様々なプロファイルを選択することが可能となっています。
8. 試しにPCI-DSS v3を選択してSCANを実行します。
9. スキャン結果をレポートします。PCI-DSSがProfileとして使われています。
10. レポート結果を見てみると、GUIのロックなどの監査も追加されていることがわかります。
まとめ
scap-security-guideを更新することにより、PCI-DSSなど様々なプロファイルを用いてセキュリティ監査を実行することが簡単になります。いずれRHELの更新にも反映されていくと思われます。