SCAP for openSUSE 42.1 (openSUSE Asia Summit 2016) — | サイオスOSS | サイオステクノロジー

2016.10.25

SCAP for openSUSE 42.1 (openSUSE Asia Summit 2016)

今回は、openSUSE Asia Summit 2016で発表した、SCAPでopenSUSEのコンテンツがどの程度あるのかという話と、既存のRHEL用のXCCDFファイルをopenSUSE用にカスタマイズして実行する方法を紹介します。

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面です。

今回は、openSUSE Asia Summit 2016で発表した、SCAPでopenSUSEのコンテンツがどの程度あるのかという話と、既存の(RHELの)XCCDFファイルをopenSUSE用にカスタマイズして実行する方法を紹介します。

なお、発表資料に関してはこちらからダウンロードできます。

 

SCAPに関して

SCAPに関しては、こちらの記事こちらの記事などでも説明されていますが、NISTによって開発された、情報セキュリティ対策の自動化と標準化を目指して策定された技術仕様になります。

SCAPは大まかに下図のように構成されています。標準化・自動化を実現するための要素としてCVE、CPE、CCE、CWE、CCSS等があり、自動化を実現するための記述言語としてOVAL、XCCDF等があるイメージになります。

また、そのSCAPを利用して自動的に脆弱性情報などを検査するツールとして、OSSのopenscapがあります。

それぞれの情報は、こちらの記事などで概要を説明しています。

また、詳しい情報はIPAのサイトに系統的にまとめられています。

openSUSEで提供されているもの

SCAPを利用してシステムの脆弱性を自動的に調査する環境としては、やはりRed Hat Enterprise Linuxが環境もそろっていますが、他のディストリビューションではどうでしょうか。

代表的なopenSUSE(SUSE Linux)、debian(ubuntu)に関しては、openscap toolsやSCAP Workbench等のパッケージ類は用意されています。

また、CVE情報を元にしたOVAL形式で記述されたXMLファイルは

http://ftp.suse.com/pub/projects/security/oval/

からダウンロードできます。

このXMLファイルを使用して、インストールしたばかりのopenSUSE 42.1をスキャンしてみると、下記のような結果が出力されます。

OVAL_SUSE_1

OVAL_SUSE_2

しかし、openSUSEではRHELのSCAP Security Guideの様にNIST SP800-53のRequirementに従ったHardening Adviceはありません。

この場合、

  1. SUSE Linuxのものを改変する

  2. RHELのものを改変する

の二通りが取れます。1.のケースでは、SLES11 for zLinux用のSTIGのXCCDFファイルがDISAのサイトからダウンロード出来ますが、肝心なベンチマークファイル”DPMS_XCCDF_Benchmark_SuSe zLinux.xml”が含まれていないため、一から開発する必要が有ります。そこで今回は2.の「RHEL 7のものを改変する」を説明しています。

修正方法

SCAPのコンテンツは、githubのSCAP Security Guideを使用します。

また、Profileはテストとして、PCIDSS-v3のものを使用します。

1. ファイルを取得する

以下のファイルを使用します。RHEL 7上でgithubからダウンロードしたSCAP Security Guide(SSG)をmakeする事により作成されます。

  1. ssg-rhel7-xccdf.xml

  2. ssg-rhel7-ocil.xml

  3. ssg-rhel7-oval.xml

上述のファイルを同じディレクトリ内にコピーします。

2. xccdfファイルのplatformを修正する

xccdfファイル中のplatformを修正します。

<platform idref="cpe:/o:redhat:enterprise_linux:7"/>
<platform idref="cpe:/o:redhat:enterprise_linux:7::client"/>
<platform idref="cpe:/o:redhat:enterprise_linux:7::computenode"/>

を変更し

<platform idref="cpe:/o:opensuse:opensuse"/>

とします。

3. スキャンテスト

実際にこのファイルを用いて、PCI-DSS v3.1でopenSUSE 42.1をスキャンしたものが、下記になります。

oscap xccdf eval --profile "pci-dss" --report /tmp/opensuse42.1-ssg-results.html ./ssg-opensuse-xccdf.xml

PSCIDSS_SUSE_1

PCIDSS_SUSE_2

以降、これらのxmlファイル(xccdf, oval, ocil)を更にopenSUSE 42.1用に修正することにより、スキャン結果をより実際のものに近づける事が出来ます。

[セミナー告知]

11/30(水)に「OSSセキュリティナイター vol.3」と題して、セキュリティのセミナーを行います。

この回では、世界で最も利用されているオープンソースデータベースであるMySQLを取り上げ、『MySQLデータベースのセキュリティを考える 〜 重要データを守るために必要なこと〜』と題してセミナーを開催します。

今回も、前回に引き続き、ゲスト講師としてMySQLスペシャリストをお招きし講演をいただきます。

http://connpass.com/event/44819/がプログラム内容と申し込みの詳細になりますので、是非お申し込み下さい。

関連コンテンツ

SCAP Security Guide 0.1.26 (更新)

Red Hat Enterprise Linuxのセキュリティ対応に OpenSCAPを活用しよう

VMware Modified Enhanced SCAP Content Editorについて

—–

タイトルとURLをコピーしました