OpenSCAP管理主機安全

引言：SCAP（安全內容自動化協議）列舉了各種軟件產品的漏洞，各種與安全有關的軟件配置問題，并提供了漏洞管理自動化的機制。它用開放性標準實現了自動化脆弱性管理、衡量和策略符合性評估。OpenSCAP 項目的目的是為了提供一個開放源碼的框架，以讓開源社群能夠整合安全內容自動協議(SCAP) 標準的能力。

什么是SCAP

SCAP（安全內容自動化協議）列舉了各種軟件產品的漏洞和各種與安全有關的軟件配置問題，并提供了漏洞管理自動化的機制。SCAP用開放性標準實現了自動化脆弱性管理、衡量和策略符合性評估。而OpenSCAP項目的目的則是為了提供一個開放源碼的框架，從而讓開源社群能夠整合安全內容自動協議（SCAP)標準的能力。

SCAP包含兩個主要元素：一個是協議，即一組標準化格式與術語的開放規范，通過SCAP，軟件安全產品可以互通軟件缺陷與安全配置信息，每一個規范也被稱作一個SCAP組件；其次，SCAP包括軟件缺陷與安全配置標準化的參考數據，也被稱作SCAP內容。

下面列出了目前的SCAP 1.0協議組件，這些組件按類型分為：列舉（Enumerations）組，為安全與產品相關的信息定義了標準表述符與目錄；脆弱性測量與評分（Vulnerability Measurement and Scoring）組， SCAP版本1.0具體包含以下六個組件（如圖1所示）：

圖1 六個SCAP組件的示意圖

OVAL(開放漏洞和評估語言)：主要是用于說明計算機的配置和發現的漏洞情況。

XCCDF(可擴展配置清單說明格式)：用于描述安全配置列表（Checklists）、基準點（Benchmarks）的相關文檔。XCCDF一般用于描述目標系統安全配置規則，是一種為表達、組織和管理安全指導的語言。

CVE(通用漏洞披露)：是包含了公眾所已知的信息安全的漏洞信息以及披露的集合。

CPE(通用平臺枚舉)：可以利用該平臺列舉出各項企業資產，從而為各項資產的數據提供基本的管理依據。

CCE(通用配置枚舉)：其作用與CVE很相似，但是CCE主要用于處理錯誤配置問題。

CVSS(通用漏洞評價體系)：一種用于評估軟件安全隱患的度量系統，同時它也可以以打分的方式幫助用戶優先應對安全風險。

其中，在圖1所示中，FISMA是法規，是美國政府制定的信息安全管理的法律依據。NIST是政府授權去制定和實施標準、技術援助的機構。而SCAP則是NIST為了實施符合FISMA的自動化要求而制定的一個協議。

安裝OpenSCAP軟件包

使用Yum命令即可在線安裝OpenSCAP相關軟件包：

#yum install openscap-utils scapsecurity-guide openscapengine-sce scapworkbench

說 明 ：“openscap-utils”是SCAP軟件包，主要包括Oscap 命令行工具。該工具作為一個 OpenSCAP 庫的前端，基于它處理的一種類型的 SCAP內容，將其功能分組模塊化（子命令）。openscap-engine-sce 的安裝包提供了腳本檢查引擎（SCE）。SCE是SCAP的一個擴展協議，允許內容作者使用腳本語言去編寫自己的安全內容，例如Bash語言，Python語言或者Ruby語言。“scap-security-guide”是SSG軟件包，它包含了Linux 系統最新的一套安全策略。SSG安全內容可以在“/usr/share/xml/scap/ssg/rhel7/”目錄下找到。scap-workbench是一個圖形化的工具，它允許用戶在本地或遠程系統上執行配置和漏洞掃描，實現系統的修復，以及生成基于掃描評估的報告。

使用Oscap 命令行工具

檢查Oscap版本的功能：

在安裝完Oscap后，您可以檢查您所安裝Oscap 版本的功能，要顯示此信息，請輸入以下命令：

# oscap -V

命令輸出的內容包括，系統版本（CVE、OVAL、CPE、CVSS），某個 Oscap 文件儲存在什么位置，能使用什么樣的SCAP對象，以及其他有用的信息。

掃描本地系統

Oscap最重要的功能是在本地系統上執行配置與漏洞掃描。通常包括有兩種格式：OVAL格式以及XCCDF格式。

1.XCCDF文件格式

XCCDF語言被設計為支持信息交換、文檔生成、組織化和情境化調整、自動一致性測試以及符合性評分。XCCDF語言主要是描述性質的，并不包含任何用來執行安全掃描的命令。然而，XCCDF文檔可以作為其他SCAP組件的參考，而且就其本身而言，它也可以被用于制作合規策略，移植到除相關的評估文檔（OVAL、OCIL）以外的所有目標平臺。通常，可以用一組XML文件中包含一個XCCDF清單的方法來表示合規策略。該XCCDF文件通常指向了評估資源、多重OVAL，OCIL以及腳本檢查引擎（SCE）文件。此外，該文件集可以包含有CPE字典文件和為此字典定義了對象的OVAL文件。

使用SSG XCCDF基準掃描系統。要在系統中為 xccdf_org.ssgproject.content_profile_rht-ccp 配置文件執行SSG XCCDF基準測試，請運行以下命令：

#oscap xccdf eval--profile rht-ccp

--results /tmp/′hostname′-ssgresults.xml

--report /var/www/html/′hostname′-ssgresults.html

--cpe /usr/share/xml/scap/ssg/content/ssg-rhel7-cpedictionary.xml

/usr/share/xml/scap/ssg/content/ssgrhel7-xccdf.xml

其中屏幕輸出界面如圖2所示。

Result：圖中“fail”（紅色字符）表示存在安全漏洞。Result：“pass”（綠 色字符）表示通過安全檢查。

這份結果報告將會以“localhost.localdomainssg-results.html”文件為名儲存在“/var/www/html/”目錄下。我們可以使用瀏覽器打開這個檢查結果文件。

2.OVAL文件格式

OVAL（開放式漏洞評估語言）是SCAP中必不可少的和最初始的組成部分。有別于其他工具或者自定義腳本，OVAL語言以聲明的形式描述了資源的理想狀態。OVAL語言代碼不能被直接執行，而是依靠一個叫做掃描軟件的OVAL解釋工具去執行。OVAL所具備的聲明性質保證了受評估系統的狀態不會被意外地改變，這一點是非常重要的，因為安全掃描工具通常運行在可能獲取的最高權限上。為了評估來自由SSG數據流文件代表的安全策略中的特別的OVAL定義，請運行以下命令：

圖2 屏幕輸出界面

圖3 工作界面

# oscap oval eval--id oval：ssg：def：100--results scan-ovalresults.xml /usr/share/xml/scap/ssg/rhel7/ssgrhel7-ds.xml

OVAL的掃描結果將會以“scan-oval-results.xml”文件格式的方式保存在當前目錄中。

使用 SCAP工作臺

SCAP Workbench是一個圖形化的工具，它允許用戶在本地或遠程系統上執行配置和漏洞掃描，從而實現系統的修復，以及生成基于掃描評估的報告。與Oscap命令行實用工具比起來，SCAP工作臺只具備有限的功能。SCAP工作臺也可以處理只以XCCDF文件和數據流文件形式存在的安全內容。安裝SCAP Workbench軟件包后通過終端即可啟動，其工作界面如圖3所示。

CAP工作臺窗口包含許多交互式組件，簡單介紹一下主要組件：

Title（輸入文件）：該字段包含了所選安全策略的完整路徑。

Tailoring（裁剪）可以對XCCDF中所定義的檢查單進行剪裁和調整，該下拉列表框顯示的是將被應用于所選安全策略中的清單的名稱。如果存在不止一個清單，您可以通過點擊此下拉列表框來選擇一個特定的清單。該下拉列表框會通知您給定安全策略的定制情況。您可以通過點擊該下拉列表框來選擇自定義規則，這些規則將會被應用在系統評估中。默認值是“no tailoring”，這意味著所使用的安全策略將不會有任何改變。如果您對所選的安全配置文件做了任何改動，可以通過點擊“Save Tailoring”按鈕以XML文檔的方式保存這些改動內容。

Profile（配置文件）：該下拉列表框包含所選安全策略配置文件的名稱。通過點擊該下拉列表框，您可以從給定的XCCDF或者數據流文件中篩選出安全配置文件。若要創建一個繼承了所選安全策略配置文件屬性的新配置文件，請點擊“Customize”按鈕。

Target（目標）：這兩個單選按鈕允許您選擇待評估系統是本地計算機還是遠程計算機。

Status bar（狀態欄）：這是一種圖形化的工具條，指示著正在執行的操作狀態。

Oline Remediation（在線修復）：該復選框允許在系統評估中開啟修復功能。如果您選中該復選框，SCAP工作臺將嘗試校正那些無法匹配策略定義狀態的系統設置。

Scan（掃描）：該按鈕允許啟動對指定系統的評估。

圖4 掃描系統結束后的界面

使用SACP 工作臺掃描系統

SACP工作臺的主要功能是依照給定的XCCDF或者數據流文件，在被選中的系統中執行安全掃描。若要評估您的系統有沒有違反所選的安全策略，請遵循下列步驟：

首先通過點擊“File”和“Open Content”按鈕打開相應的XCCDF或者數據流文件來選擇一項安全策略。然后點擊“Scan（掃描）”開始掃描系統，當系統掃描結束以后，新的按鈕包括：“Clear” 和“Save Report”以 及“Show Report”，會出現并取代“Scan”按鈕如圖4所示。

說明：

pass（綠 色 字 符）：目標系統（及其相關組件）滿足所有規則的條件XCCDF。

fail（紅色字符）：目標系統（其特定的組件）不符合某些條件的XCCDF規則。

除了“fail”和“pass”兩個最常見的選項，還有幾個選項。

error：沒有能夠完成規則評估。

notapplicable：規則并不適用于在此系統上進行測試(可以理解為掃描規則不匹配的)。

unknown：未知錯誤。

總結

本文從整體上介紹了什么是SCAP，SCAP的組成元素，SCAP元素之間的關系和SCAP相關的開源工具，以及如何利用SCAP和開源工具對系統進行配置合規性掃描。可以看到使用SCAP能夠非常方便地對系統配置合規性進行自動化評估。