Sådan udføres sikkerhedsrevisioner på Ubuntu-server med OpenSCAP

Dit datacenter bruger sandsynligvis et par Linux-servere enten til containere, virtuelle maskiner eller forskellige typer servere. På grund af dette ønsker du at vide så meget om disse servere som muligt. Er de lappet eller er de sårbare? Dette betyder, at du skal køre sikkerhedsrevisioner.
Datacenter skal læses
- 8 datacenters forudsigelser for 2020
- 7 netværksforudsigelser for 2020: Automation, edge computing, Wi-Fi 6 og mere
- Bedste praksis for server virtualisering og tip til, hvad man ikke skal gøre
- Kvanteberegning: Syv sandheder, du har brug for at vide
Men hvordan? Hvilke værktøjer skal du bruge? Hvis du søger efter Linux-revisionsværktøjer, finder du flere resultater, end du sandsynligvis interesserer dig for at scanne. Blandt resultaterne kommer du imidlertid over et sådant værktøj, kaldet OpenSCAP.
Ansættelsessæt: Databaseadministrator (TechRepublic Premium)
OpenSCAP leverer de nødvendige værktøjer til administratorer og revisorer til at vurdere, måle og håndhæve sikkerhedsbasislinjer. Det er ret nemt at installere og næsten lige så let at bruge. Jeg vil demonstrere, hvordan man netop gør dette på Ubuntu Server 18.04.
Hvad du har brug for
De eneste ting, du har brug for for at få dette til at ske, er en fungerende instans af Ubuntu Server 18.04 (der inkluderer en kørende webserver) og en brugerkonto med sudo-privilegier. Med det i tankerne, lad os gøre med revisionen.
Installation
Den første opgave at tage sig af er installationen af OpenSCAP. Da vi arbejder fra kommandolinjen, installerer vi kun OpenSCAP-basen (som kun er et kommandolinjeværktøj). For at gøre dette skal du åbne et terminalvindue (eller logge på din Linux-server) og udstede kommandoen:
sudo apt-get install libopenscap8-y
Hvis din datacenterserver er CentOS, kan du installere værktøjet med kommandoen:
sudo yum installer openscap-scanner
Når installationen er afsluttet, er du klar til at fortsætte.
Download SCAP-profilen
Derefter skal vi downloade den Ubuntu-specifikke profil, som OpenSCAP-kommandoen vil bruge til revisionen. Fra din chance inkluderer din Ubuntu-maskine ikke wget-kommandoen, skal du installere den med:
sudo apt-get install wget -y
Når wget er installeret, skal du downloade de nødvendige OVAL-definitioner med kommandoen:
wget https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.xenial.cve.oval.xml
Advarsel, denne download tager et minut eller to (det er en stor fil, der kommer fra en træg server).
Bemærk: Hvis du kører CentOS eller RHEL på dine datacenterservere, kan OVAL-definitionerne downloades med kommandoen:
wget https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2
Du bliver derefter nødt til at udpakke den fil med kommandoen:
bunzip2 com.redhat.rhsa-RHEL7.xml.bz2
Kør revisionen
Nu hvor du har profilen på plads, er det tid til at køre revisionen. For at udstede kommandoen:
oscap oval eval - resultater /tmp/oscap_results.xml - rapporter /tmp/oscap_report.html com.ubuntu.xenial.cve.oval.xml
Den fulde scanning tager lang tid (og udsender oprindeligt intet til stdout), så det ser ud til at gøre noget. Det er. Vær tålmodig.
Se rapporten
Scanningen udsender sine resultater i to filer, en .xml og .html-fil. Vi vil se .html-filen. For at gøre det, udgive kommandoen:
sudo cp /tmp/oscap_report.html / var / www / html /
Bemærk: Hvis dokumentroden på din webserver er på et andet sted end / var / www / html, kopier du rapportfilen der i stedet. Ret din browser til http: //SERVER_IP/oscap_report.html (hvor SERVER_IP er IP-adressen på din Linux-server). Hvad du skal se, er en forholdsvis lang rapport, der specificerer alle leverede scanningsresultater ( figur A ).
Figure A: The results of an oscap scan." data-credit="" rel="noopener noreferrer nofollow">
Figur A: Resultaterne af en oscap-scanning.
Som du kan se, viser resultaterne detaljerne om hver sårbarhed samt et link til CVE for hver sårbarhed. Hvis du ser et resultat, der er opført som sandt, vil du straks adressere denne sårbarhed. Forstå, der er en hel del sårbarheder, der er testet (mere end 13.000), så forhåbentlig vil din Ubuntu-server komme falsk for hver test.
Selvfølgelig behøver du ikke rulle gennem hele resultaterne. Du kan altid se hurtigt på OVAL Resultater Generator Information ( figur B ) for at se, hvor mange sårbarheder der er:
- Uden udsendelse (rød)
- Lappet (grønt)
- Fejl (gul)
- Ukendt (blå)
- Andet (hvidt)

Figur B: De hurtige resultater af vores rapport.
Hvis du ser noget i rødt, skal du rulle gennem fortegnelsen, finde ud af, hvad der ikke er sendt, og lappe det med det samme.
Pålidelig CVE-scanning
Dette kan være din bedste mulighed for at scanne mod kendte sårbarheder på dine datacentre Linux-servere. Prøv OpenSCAP, og se, om det ikke hjælper med at sikre, at du er så informeret om tilstanden på dine Linux-serversårbarheder, som du kan være.
Datacenter Trends Nyhedsbrev
DevOps, virtualisering, hybrid sky, opbevaring og driftseffektivitet er blot nogle af de datacenteremner, vi vil fremhæve. Leveres mandage og onsdage
Tilmeld dig i dag