Sådan udføres sikkerhedsrevisioner på Ubuntu-server med OpenSCAP

Sådan udføres sikkerhedsrevisioner på Ubuntu-server med OpenSCAP Er dine Linux-serverrettelser opdaterede? Find ud af det med OpenSCAP.

Dit datacenter bruger sandsynligvis et par Linux-servere enten til containere, virtuelle maskiner eller forskellige typer servere. På grund af dette ønsker du at vide så meget om disse servere som muligt. Er de lappet eller er de sårbare? Dette betyder, at du skal køre sikkerhedsrevisioner.

Datacenter skal læses

  • 8 datacenters forudsigelser for 2020
  • 7 netværksforudsigelser for 2020: Automation, edge computing, Wi-Fi 6 og mere
  • Bedste praksis for server virtualisering og tip til, hvad man ikke skal gøre
  • Kvanteberegning: Syv sandheder, du har brug for at vide

Men hvordan? Hvilke værktøjer skal du bruge? Hvis du søger efter Linux-revisionsværktøjer, finder du flere resultater, end du sandsynligvis interesserer dig for at scanne. Blandt resultaterne kommer du imidlertid over et sådant værktøj, kaldet OpenSCAP.

Ansættelsessæt: Databaseadministrator (TechRepublic Premium)

OpenSCAP leverer de nødvendige værktøjer til administratorer og revisorer til at vurdere, måle og håndhæve sikkerhedsbasislinjer. Det er ret nemt at installere og næsten lige så let at bruge. Jeg vil demonstrere, hvordan man netop gør dette på Ubuntu Server 18.04.

Hvad du har brug for

De eneste ting, du har brug for for at få dette til at ske, er en fungerende instans af Ubuntu Server 18.04 (der inkluderer en kørende webserver) og en brugerkonto med sudo-privilegier. Med det i tankerne, lad os gøre med revisionen.

Installation

Den første opgave at tage sig af er installationen af ​​OpenSCAP. Da vi arbejder fra kommandolinjen, installerer vi kun OpenSCAP-basen (som kun er et kommandolinjeværktøj). For at gøre dette skal du åbne et terminalvindue (eller logge på din Linux-server) og udstede kommandoen:

 sudo apt-get install libopenscap8-y 

Hvis din datacenterserver er CentOS, kan du installere værktøjet med kommandoen:

 sudo yum installer openscap-scanner 

Når installationen er afsluttet, er du klar til at fortsætte.

Download SCAP-profilen

Derefter skal vi downloade den Ubuntu-specifikke profil, som OpenSCAP-kommandoen vil bruge til revisionen. Fra din chance inkluderer din Ubuntu-maskine ikke wget-kommandoen, skal du installere den med:

 sudo apt-get install wget -y 

Når wget er installeret, skal du downloade de nødvendige OVAL-definitioner med kommandoen:

 wget https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.xenial.cve.oval.xml 

Advarsel, denne download tager et minut eller to (det er en stor fil, der kommer fra en træg server).

Bemærk: Hvis du kører CentOS eller RHEL på dine datacenterservere, kan OVAL-definitionerne downloades med kommandoen:

 wget https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2 

Du bliver derefter nødt til at udpakke den fil med kommandoen:

 bunzip2 com.redhat.rhsa-RHEL7.xml.bz2 

Kør revisionen

Nu hvor du har profilen på plads, er det tid til at køre revisionen. For at udstede kommandoen:

 oscap oval eval - resultater /tmp/oscap_results.xml - rapporter /tmp/oscap_report.html com.ubuntu.xenial.cve.oval.xml 

Den fulde scanning tager lang tid (og udsender oprindeligt intet til stdout), så det ser ud til at gøre noget. Det er. Vær tålmodig.

Se rapporten

Scanningen udsender sine resultater i to filer, en .xml og .html-fil. Vi vil se .html-filen. For at gøre det, udgive kommandoen:

 sudo cp /tmp/oscap_report.html / var / www / html / 

Bemærk: Hvis dokumentroden på din webserver er på et andet sted end / var / www / html, kopier du rapportfilen der i stedet. Ret din browser til http: //SERVER_IP/oscap_report.html (hvor SERVER_IP er IP-adressen på din Linux-server). Hvad du skal se, er en forholdsvis lang rapport, der specificerer alle leverede scanningsresultater ( figur A ).

Figure A: The results of an oscap scan.

" data-credit="" rel="noopener noreferrer nofollow">

Figur A: Resultaterne af en oscap-scanning.

Som du kan se, viser resultaterne detaljerne om hver sårbarhed samt et link til CVE for hver sårbarhed. Hvis du ser et resultat, der er opført som sandt, vil du straks adressere denne sårbarhed. Forstå, der er en hel del sårbarheder, der er testet (mere end 13.000), så forhåbentlig vil din Ubuntu-server komme falsk for hver test.

Selvfølgelig behøver du ikke rulle gennem hele resultaterne. Du kan altid se hurtigt på OVAL Resultater Generator Information ( figur B ) for at se, hvor mange sårbarheder der er:

  • Uden udsendelse (rød)
  • Lappet (grønt)
  • Fejl (gul)
  • Ukendt (blå)
  • Andet (hvidt)
Figure B: The quick-view results of our report.

" data-credit="" rel="noopener noreferrer nofollow">

Figur B: De hurtige resultater af vores rapport.

Hvis du ser noget i rødt, skal du rulle gennem fortegnelsen, finde ud af, hvad der ikke er sendt, og lappe det med det samme.

Pålidelig CVE-scanning

Dette kan være din bedste mulighed for at scanne mod kendte sårbarheder på dine datacentre Linux-servere. Prøv OpenSCAP, og se, om det ikke hjælper med at sikre, at du er så informeret om tilstanden på dine Linux-serversårbarheder, som du kan være.

Datacenter Trends Nyhedsbrev

DevOps, virtualisering, hybrid sky, opbevaring og driftseffektivitet er blot nogle af de datacenteremner, vi vil fremhæve. Leveres mandage og onsdage

Tilmeld dig i dag

© Copyright 2021 | mobilegn.com