openscap_매뉴얼_v1.2

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

다음 판		 이전 판
openscap_매뉴얼_v1.2 [2018/11/04 05:34] – 만듦 koovopenscap_매뉴얼_v1.2 [2021/05/26 13:38] (현재) koov
줄 1: 줄 1:
 **OpenSCAP 1.2 매뉴얼** **OpenSCAP 1.2 매뉴얼**
  
-====== 소개 ======+====== 1. 소개 ======
  
-이 설명서는 호출되는 명령 줄 도구 ''oscap''와 가장 일반적인 작업에 대한 정보를 제공 합니다. ''oscap''으로 당신은 시스템의 보안 구성 설정을 확인할 수 있으며, 표준 및 사양을 기반으로 규칙을 사용하여 타협의 징후에 대한 시스템을 검사합니다. ''oscap''은 [[http://scap.nist.gov/|SCAP]] 의해 유지 사양의 라인 [[http://www.nist.gov/|NIST]] 시스템 보안을 관리하기위한 표준화 된 방식을 제공하기 위해 만들어졌다. 새로운 사양은 일관되고 반복 가능한 수정 작업 흐름을 제공하기 위해 NIST의 SCAP 릴리스주기 에 의해 관리됩니다 . 는 oscap주로 처리 XCCDF을이는 체크리스트 컨텐츠를 표현하는 표준 방식이며 보안 체크리스트를 정의합니다. 또한 CPE , CCE 및 OVAL 과 같은 다른 사양과 결합하여 SCAP 검증 제품으로 처리 할 수있는 SCAP 표현 체크리스트를 작성합니다. SCAP에 대한 자세한 내용은 SCAP 표준을 참조하십시오 .+이 설명서는 호출되는 명령 줄 도구 ''oscap''와 가장 일반적인 작업에 대한 정보를 제공 합니다. ''oscap''으로 당신은 시스템의 보안 구성 설정을 확인할 수 있으며, 표준 및 사양을 기반으로 규칙을 사용하여 타협의 징후에 대한 시스템을 검사합니다. ''oscap''은 [[http://scap.nist.gov/|SCAP]] 의해 유지 사양의 라인 [[http://www.nist.gov/|NIST]] 시스템 보안을 관리하기위한 표준화 된 방식을 제공하기 위해 만들어졌다. 새로운 사양은 일관되고 반복 가능한 수정 작업 흐름을 제공하기 위해 NIST의 SCAP 릴리스주기 에 의해 관리됩니다. ''oscap''는 주로 ''XCCDF''를 처리합니다. 이는 체크리스트 컨텐츠를 표현하는 표준 방식이며 보안 체크리스트를 정의합니다. 또한 CPE , CCE 및 OVAL 과 같은 다른 사양과 결합하여 SCAP 검증 제품으로 처리 할 수있는 SCAP 표현 체크리스트를 작성합니다. SCAP에 대한 자세한 내용은 SCAP 표준을 참조하십시오 .
  
 이 ''oscap''도구는 [[https://open-scap.org/|OpenSCAP]] 프로젝트 의 일부입니다 . 이 도구에 대한 그래픽 대안에 관심이 있으시면 [[https://www.open-scap.org/tools/scap-workbench/|SCAP Workbench]] 페이지 를 방문 하십시오. 이 ''oscap''도구는 [[https://open-scap.org/|OpenSCAP]] 프로젝트 의 일부입니다 . 이 도구에 대한 그래픽 대안에 관심이 있으시면 [[https://www.open-scap.org/tools/scap-workbench/|SCAP Workbench]] 페이지 를 방문 하십시오.
줄 9: 줄 9:
 우리는 [[http://open-scap.org/security-policies/scap-security-guide/|scap-security-guide SSG]] 프로젝트를 사용하여 SCAP 컨텐츠를 제공 할 것입니다. 이는 여러 가지 컴퓨터 보안 영역을 다루는 SCAP 문서 형식으로 작성된 보안 정책을 제공하며 존중 당국 ( PCI DSS , STIG 및 USGCB)에서 권장하는 보안 지침을 구현 합니다. 우리는 [[http://open-scap.org/security-policies/scap-security-guide/|scap-security-guide SSG]] 프로젝트를 사용하여 SCAP 컨텐츠를 제공 할 것입니다. 이는 여러 가지 컴퓨터 보안 영역을 다루는 SCAP 문서 형식으로 작성된 보안 정책을 제공하며 존중 당국 ( PCI DSS , STIG 및 USGCB)에서 권장하는 보안 지침을 구현 합니다.
  
-최소한 XCCDF 또는 OVAL에 대해 잘 알고 있다면 자신 만의 SCAP 컨텐트를 생성 할 수도 있습니다. XCCDF 컨텐츠는 오픈 소스 라이센스하에 온라인으로 자주 게시되기 때문에 필요에 맞게이 컨텐츠를 사용자 정의 할 수 있습니다. SCAP Workbench는 커스터마이제이션을 수행하는 훌륭한 도구입니다.+최소한 ''XCCDF'' 또는 ''OVAL''에 대해 잘 알고 있다면 자신 만의 SCAP 컨텐트를 생성 할 수도 있습니다. ''XCCDF'' 컨텐츠는 오픈 소스 라이센스하에 온라인으로 자주 게시되기 때문에 필요에 맞게이 컨텐츠를 사용자 정의 할 수 있습니다. SCAP Workbench는 커스터마이제이션을 수행하는 훌륭한 도구입니다.
  
 매뉴얼의 기본 oscap 사용법 섹션에서는 도구 및 SCAP 컨텐츠를 설치하는 방법과이를 사용하여 SCAP 컨텐츠를 검사하고, 구성 스캔을 수행하며, 자동으로 시스템을 교정하는 방법을 제시합니다. 매뉴얼의 기본 oscap 사용법 섹션에서는 도구 및 SCAP 컨텐츠를 설치하는 방법과이를 사용하여 SCAP 컨텐츠를 검사하고, 구성 스캔을 수행하며, 자동으로 시스템을 교정하는 방법을 제시합니다.
줄 17: 줄 17:
 마지막 절에는 Linux 및 Windows에서 개발자에게 유용한 oscap 디버깅 및 컴파일에 대한 정보가 포함되어 있습니다. 마지막 절에는 Linux 및 Windows에서 개발자에게 유용한 oscap 디버깅 및 컴파일에 대한 정보가 포함되어 있습니다.
  
-====== oscap 기본 사용법 ======+====== 2. oscap 기본 사용법 ======
 로컬 시스템의 구성 또는 취약점 검색을 수행하려면 다음을 사용할 수 있어야합니다. 로컬 시스템의 구성 또는 취약점 검색을 수행하려면 다음을 사용할 수 있어야합니다.
   * A tool (oscap or SCAP Workbench)   * A tool (oscap or SCAP Workbench)
   * SCAP content (XCCDF, OVAL…​)   * SCAP content (XCCDF, OVAL…​)
  
-===== 설치 =====+===== 2.1. 설치 =====
 [[https://github.com/OpenSCAP/openscap|소스]] 에서 OpenSCAP 라이브러리와 oscap 도구를 빌드하거나 (자세한 내용은 컴파일 섹션 참조) Linux 배포판에 기존 빌드를 사용할 수 있습니다. Fedora 또는 Red Hat Enterprise Linux 배포판에 oscap 도구를 설치하려면 다음 yum 명령을 사용하십시오. [[https://github.com/OpenSCAP/openscap|소스]] 에서 OpenSCAP 라이브러리와 oscap 도구를 빌드하거나 (자세한 내용은 컴파일 섹션 참조) Linux 배포판에 기존 빌드를 사용할 수 있습니다. Fedora 또는 Red Hat Enterprise Linux 배포판에 oscap 도구를 설치하려면 다음 yum 명령을 사용하십시오.
  
줄 54: 줄 54:
 </WRAP> </WRAP>
  
-===== SCAP 콘텐츠에 대한 정보 표시 =====+===== 2.2. SCAP 콘텐츠에 대한 정보 표시 =====
 ''oscap''의 기능 중 하나는 파일 내의 SCAP 내용에 대한 정보를 표시하는 것입니다. 실행중인 ''oscap info''명령은 같은 문서 유형, 사양 버전, 상태, 문서가 게시 된 날짜 (같은 SCAP 문서 및 디스플레이 정보의 내부 구조의 시험을 허용 생성 ) 및 문서 시스템을 파일에 복사 된 날짜 ( 수입 ). 일반적으로 XCCDF 문서 또는 SCAP 데이터 스트림을 검사 할 때 가장 유용한 정보는 프로필, 검사 목록 및 스트림에 대한 정보입니다. ''oscap''의 기능 중 하나는 파일 내의 SCAP 내용에 대한 정보를 표시하는 것입니다. 실행중인 ''oscap info''명령은 같은 문서 유형, 사양 버전, 상태, 문서가 게시 된 날짜 (같은 SCAP 문서 및 디스플레이 정보의 내부 구조의 시험을 허용 생성 ) 및 문서 시스템을 파일에 복사 된 날짜 ( 수입 ). 일반적으로 XCCDF 문서 또는 SCAP 데이터 스트림을 검사 할 때 가장 유용한 정보는 프로필, 검사 목록 및 스트림에 대한 정보입니다.
  
줄 140: 줄 140:
 ''Status'' : XCCDF 벤치 마크 상태입니다. 일반적인 값에는 ''accepted'', ''draft'', ''deprecated'', ''incomplete''가 포함됩니다. 자세한 내용은 XCCDF 사양을 참조하십시오. 이것은 XCCDF 파일에만 표시됩니다. ''Status'' : XCCDF 벤치 마크 상태입니다. 일반적인 값에는 ''accepted'', ''draft'', ''deprecated'', ''incomplete''가 포함됩니다. 자세한 내용은 XCCDF 사양을 참조하십시오. 이것은 XCCDF 파일에만 표시됩니다.
 ''Generated date'' : 파일이 생성 / 생성 된 날짜입니다. 이 날짜는 XCCDF 파일 W 검사 목록에 표시되며 XCCDF 상태 요소에서 제공됩니다. ''Generated date'' : 파일이 생성 / 생성 된 날짜입니다. 이 날짜는 XCCDF 파일 W 검사 목록에 표시되며 XCCDF 상태 요소에서 제공됩니다.
-''Checklists'' : ''oscap xccdf eval'' 명령어에 ''--benchmark-id'' 옵션과 함께 사용하는경우 데이터 스트림에 통합 된 사용 가능한 검사 목록이 나열 됩니다 . 또한 각 체크리스트에는 상세한 정보가 인쇄되어 있습니다. +''Checklists'' : ''oscap xccdf eval'' 명령어에 ''%%--benchmark-id%%'' 옵션과 함께 사용하는경우 데이터 스트림에 통합 된 사용 가능한 검사 목록이 나열 됩니다 . 또한 각 체크리스트에는 상세한 정보가 인쇄되어 있습니다. 
-''Profiles'' : ''oscap xccdf eval'' 명령어에 ''--profile'' 옵션과 함께 사용하는경우 사용 가능한 프로필 ID가 나열 됩니다+''Profiles'' : ''oscap xccdf eval'' 명령어에 ''%%--profile%%'' 옵션과 함께 사용하는경우 사용 가능한 프로필 ID가 나열 됩니다
  
 ==== 결과 파일에 대한 추가 정보 (XCCDF 및 ARF) ==== ==== 결과 파일에 대한 추가 정보 (XCCDF 및 ARF) ====
줄 168: 줄 168:
 HTML 보고서 인 표 평가 특성 에서 두 날짜를 모두 찾을 수도 있습니다 . XCCDF 결과 또는 ARF에서 HTML 보고서를 생성하려면 ''oscap xccdf generate report''명령을 사용하십시오 . HTML 보고서 인 표 평가 특성 에서 두 날짜를 모두 찾을 수도 있습니다 . XCCDF 결과 또는 ARF에서 HTML 보고서를 생성하려면 ''oscap xccdf generate report''명령을 사용하십시오 .
  
-===== OSCAP로 스캔 =====+===== 2.3. OSCAP로 스캔 =====
 ''oscap''도구 의 주요 목표 는 로컬 시스템의 구성 및 취약성 검색을 수행하는 것입니다. Oscap은 XCCDF 벤치 마크 및 OVAL 정의를 평가하고 적절한 결과를 생성 할 수 있습니다. SCAP 컨텐츠는 단일 파일 (OVAL 파일 또는 SCAP 데이터 스트림) 또는 여러 개의 별도 XML 파일로 제공 될 수 있습니다. 다음 예는 이러한 접근 방식을 구분합니다. ''oscap''도구 의 주요 목표 는 로컬 시스템의 구성 및 취약성 검색을 수행하는 것입니다. Oscap은 XCCDF 벤치 마크 및 OVAL 정의를 평가하고 적절한 결과를 생성 할 수 있습니다. SCAP 컨텐츠는 단일 파일 (OVAL 파일 또는 SCAP 데이터 스트림) 또는 여러 개의 별도 XML 파일로 제공 될 수 있습니다. 다음 예는 이러한 접근 방식을 구분합니다.
  
줄 212: 줄 212:
 여기서 ''united_states_government_configuration_baseline''가 XCCDF 문서의 프로파일을 나타내고, ''usgcb-rhel5desktop-xccdf.xml''가 XCCDF 문서를 지정하는 파일이며, ''usgcb-rhel5desktop-oval.xml''는 OVAL 정의 파일이다 ''usgcb-rhel5desktop-oval.xml-0.variables-0.xml'' 은 XCCDF 파일에서 내보낸 변수가 들어있는 파일이고, ''usgcb-results-oval.xml'' 은 OVAL 결과 파일입니다. 여기서 ''united_states_government_configuration_baseline''가 XCCDF 문서의 프로파일을 나타내고, ''usgcb-rhel5desktop-xccdf.xml''가 XCCDF 문서를 지정하는 파일이며, ''usgcb-rhel5desktop-oval.xml''는 OVAL 정의 파일이다 ''usgcb-rhel5desktop-oval.xml-0.variables-0.xml'' 은 XCCDF 파일에서 내보낸 변수가 들어있는 파일이고, ''usgcb-results-oval.xml'' 은 OVAL 결과 파일입니다.
  
-OVAL 지시문 파일을 사용하여 결과를 "thin" 또는 "full" 여부를 제어 할 수 있습니다. 이 파일은 ''--directives <file>'' 옵션을 사용하여 OpenSCAP에서로드 할 수 있습니다.+OVAL 지시문 파일을 사용하여 결과를 "thin" 또는 "full" 여부를 제어 할 수 있습니다. 이 파일은 ''%%--directives <file>%%'' 옵션을 사용하여 OpenSCAP에서로드 할 수 있습니다.
  
 ''full'' 대신 ''thin'' 결과를 가능하게하는 OVAL 지시문 파일의 예 : ''full'' 대신 ''thin'' 결과를 가능하게하는 OVAL 지시문 파일의 예 :
줄 237: 줄 237:
 </WRAP> </WRAP>
  
-유스 케이스에 ''thin'' OVAL 결과가 필요한 경우 시스템 특성을 생략 할 가능성이 높습니다. 해당 효과에 ''--without-syschar'' 옵션을 사용할 수 있습니다 .+유스 케이스에 ''thin'' OVAL 결과가 필요한 경우 시스템 특성을 생략 할 가능성이 높습니다. 해당 효과에 ''%%--without-syschar%%'' 옵션을 사용할 수 있습니다 .
  
 일반 OVAL 파일을 검사 할 때 OVAL 지시문 파일 사용 : 일반 OVAL 파일을 검사 할 때 OVAL 지시문 파일 사용 :
줄 333: 줄 333:
 ''scap-xccdf.xml'' 는 XCCDF 문서이고, ''Desktop''은 XCCDF 문서에서 선택된 프로파일이다 ''xccdf-results.xml''는 검사 결과를 저장하는 파일이며, ''cpe-dictionary.xml''는 CPE dictionary이다. ''scap-xccdf.xml'' 는 XCCDF 문서이고, ''Desktop''은 XCCDF 문서에서 선택된 프로파일이다 ''xccdf-results.xml''는 검사 결과를 저장하는 파일이며, ''cpe-dictionary.xml''는 CPE dictionary이다.
  
-위의 명령에 ''--rule'' 옵션을 추가 하여 특정 규칙을 평가할 수 있습니다 .+위의 명령에 ''%%--rule%%'' 옵션을 추가 하여 특정 규칙을 평가할 수 있습니다 .
  
 <WRAP prewrap> <WRAP prewrap>
줄 358: 줄 358:
  
 <WRAP center round info> <WRAP center round info>
-명령 행에서 ''--datastream-id''옵션을 생략 하면 콜렉션의 첫 번째 데이터 스트림이 사용됩니다. ''--xccdf-id''옵션을 생략 하면 checklists 요소의 첫 번째 구성 요소가 사용됩니다. 둘 다 생략하면 checklists 요소의 첫 번째 DataStream이 사용됩니다. checklists 요소의 첫 번째 구성 요소가 사용됩니다.+명령 행에서 ''%%--datastream-id%%''옵션을 생략 하면 콜렉션의 첫 번째 데이터 스트림이 사용됩니다. ''%%--xccdf-id%%''옵션을 생략 하면 checklists 요소의 첫 번째 구성 요소가 사용됩니다. 둘 다 생략하면 checklists 요소의 첫 번째 DataStream이 사용됩니다. checklists 요소의 첫 번째 구성 요소가 사용됩니다.
 </WRAP> </WRAP>
  
줄 371: 줄 371:
 ==== Result DataStream (ARF) 결과 데이터 스트림 ==== ==== Result DataStream (ARF) 결과 데이터 스트림 ====
  
-위의 예제에서는 ''--results'' 명령 줄 인수를 사용하여 XCCDF 결과 파일을 생성합니다. 또한 Result DataStream (ARF - Asset Reporting Format이라고도 함) XML을 생성하는 데 ''--results-arf'' 옵션을 사용할 수도 있습니다.+위의 예제에서는 ''%%--results%%'' 명령 줄 인수를 사용하여 XCCDF 결과 파일을 생성합니다. 또한 Result DataStream (ARF - Asset Reporting Format이라고도 함) XML을 생성하는 데 ''%%--results-arf%%'' 옵션을 사용할 수도 있습니다.
  
 <WRAP prewrap> <WRAP prewrap>
줄 381: 줄 381:
  
 ==== Result STIG Viewer ==== ==== Result STIG Viewer ====
-XCCDF 검사 결과를 DISA STIG Viewer로 가져올때 Rule ID가 DISA와 일치하지 않으면 규칙의 특수 참조와 함께 ''--stig-viewer'' 명령 행 인수를 사용하여 DISA STIG Viewer에서 가져올 수있는 XCCDF 결과 파일을 생성 할 수 있습니다.+XCCDF 검사 결과를 DISA STIG Viewer로 가져올때 Rule ID가 DISA와 일치하지 않으면 규칙의 특수 참조와 함께 ''%%--stig-viewer%%'' 명령 행 인수를 사용하여 DISA STIG Viewer에서 가져올 수있는 XCCDF 결과 파일을 생성 할 수 있습니다.
  
 <WRAP prewrap> <WRAP prewrap>
줄 404: 줄 404:
 DISA STIG Viewer에 대한 자세한 내용을 보려면 [[http://iase.disa.mil/stigs/Pages/stig-viewing-guidance.aspx|여기]]를 클릭 하십시오 . DISA STIG Viewer에 대한 자세한 내용을 보려면 [[http://iase.disa.mil/stigs/Pages/stig-viewing-guidance.aspx|여기]]를 클릭 하십시오 .
  
-===== Remediate System 시스템 재조정(치료) =====+===== 2.4. Remediate System 시스템 재조정(치료) =====
  
 OpenSCAP은 호환되지 않는 상태에서 발견 된 시스템을 자동으로 수정합니다. 시스템 재조정의 경우 지침이있는 XCCDF 파일이 필요합니다. ''scap-security-guide'' 패키지에는 특정 수정 지침이 포함되어 있습니다. OpenSCAP은 호환되지 않는 상태에서 발견 된 시스템을 자동으로 수정합니다. 시스템 재조정의 경우 지침이있는 XCCDF 파일이 필요합니다. ''scap-security-guide'' 패키지에는 특정 수정 지침이 포함되어 있습니다.
줄 423: 줄 423:
 온라인 재조정은 검색시 수정 요소를 실행합니다. 평가 및 재조정은 단일 명령의 일부로 수행됩니다. 온라인 재조정은 검색시 수정 요소를 실행합니다. 평가 및 재조정은 단일 명령의 일부로 수행됩니다.
  
-온라인 치료를 사용하려면 ''--remediate'' 명령 줄 옵션을 사용하십시오 . 예를 들어, ''scap-security-guide'' 패키지를 사용하여 온라인 치료를 실행하려면 다음을 실행하십시오.+온라인 치료를 사용하려면 ''%%--remediate%%'' 명령 줄 옵션을 사용하십시오 . 예를 들어, ''scap-security-guide'' 패키지를 사용하여 온라인 치료를 실행하려면 다음을 실행하십시오.
  
 <WRAP prewrap> <WRAP prewrap>
줄 457: 줄 457:
 </code> </code>
  
-===== Check Engines 엔진 점검 =====+===== 2.5. Check Engines 엔진 점검 =====
  
-대부분의 XCCDF 콘텐츠는 OVAL 검사 엔진을 사용합니다. 이것은 OVAL 정의가 시스템을 평가하기 위해 평가 될 때입니다. 평가에 대한 완벽한 정보는 OVAL 사양에 정의 된대로 OVAL 결과 파일에 기록됩니다. 이 파일을 검토하여 평가에 사용 된 정의와 결과가 그대로 나타나는 이유를 확인할 수 있습니다. ''--oval-results'' 를 사용 하지 않으면 이러한 파일이 생성되지 않습니다 .+대부분의 XCCDF 콘텐츠는 OVAL 검사 엔진을 사용합니다. 이것은 OVAL 정의가 시스템을 평가하기 위해 평가 될 때입니다. 평가에 대한 완벽한 정보는 OVAL 사양에 정의 된대로 OVAL 결과 파일에 기록됩니다. 이 파일을 검토하여 평가에 사용 된 정의와 결과가 그대로 나타나는 이유를 확인할 수 있습니다. ''%%--oval-results%%'' 를 사용 하지 않으면 이러한 파일이 생성되지 않습니다 .
  
 일부 콘텐츠는 대체 체크 엔진 (예 : SCE 체크 엔진) 을 사용할 수 있습니다 . 일부 콘텐츠는 대체 체크 엔진 (예 : SCE 체크 엔진) 을 사용할 수 있습니다 .
줄 515: 줄 515:
 식별자는 HTML 보고서 출력의 일부이기도합니다. 식별자가 CVE 인 경우이를 클릭하여 공식 NVD 데이터베이스에서 메타 데이터를 표시 할 수 있습니다 (인터넷 연결 필요). OpenSCAP은 다른 유형의 식별자에 대한 메타 데이터를 제공하지 않습니다. 식별자는 HTML 보고서 출력의 일부이기도합니다. 식별자가 CVE 인 경우이를 클릭하여 공식 NVD 데이터베이스에서 메타 데이터를 표시 할 수 있습니다 (인터넷 연결 필요). OpenSCAP은 다른 유형의 식별자에 대한 메타 데이터를 제공하지 않습니다.
  
-이러한 ID를 찾을 수있는 또 다른 위치는 기계가 읽을 수있는 ''Result Datastream'' 파일입니다. 이 파일은 ''--results-arf'' 옵션을 추가하여 스캔 중에 생성 될 수 있습니다.+이러한 ID를 찾을 수있는 또 다른 위치는 기계가 읽을 수있는 ''Result Datastream'' 파일입니다. 이 파일은 ''%%--results-arf%%'' 옵션을 추가하여 스캔 중에 생성 될 수 있습니다.
  
 <WRAP prewrap> <WRAP prewrap>
  • openscap_매뉴얼_v1.2.1541309647.txt.gz
  • 마지막으로 수정됨: 2018/11/04 05:34
  • 저자 koov