使用OpenSCAP对CentOS6进行安全检查

最新推荐文章于 2024-06-04 10:13:20 发布
最新推荐文章于 2024-06-04 10:13:20 发布
阅读量6.3k 收藏 9
点赞数 1
分类专栏: 安全 文章标签: OVAL OpenSCAP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyuansheng6911/article/details/54380333
版权

使用OpenScap对CentOS6进行安全检查

OpenSCAP官网:https://www.open-scap.org/

OpenSCAP提供了很多安全方面的工具,包括配置安全检查漏洞扫描,可惜CentOS已经很久没有更新OVAL库了,因此理论上来说,CentOS是用不上OpenSCAP的,有一们外国牛人 Waldirio Manhães Pinheiro 解决了配置安全检查这一部分的问题,在此把方法引进国内来,也希望有国内的牛人把漏洞扫描这一块也解决了,毕竟 nessus 还是很贵的

名词解释:

  • SCAP(Security Content Automation Protoco l:安全内容自动化协议)
  • XCCD (The Extensible Configuration Checklist Description)
  • FDCC(Federal Desktop CoreConfiguration:联邦桌面核心配置)
  • USGCB(United States Government ConfigurationBaseline:美国政府配置基线)

一、安装

[root@localhost ~]# yum install scap-security-guide -y

二、修改配置

如果使用的是 redhat 则可以跳过此步

[root@localhost ~]# sed -i -e "s#<platform>Red Hat Enterprise Linux 6</platform>#<platform>CentOS 6</platform>##g" /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-oval.xml
[root@localhost ~]# sed -i -e "s#cpe:/o:redhat:enterprise_linux:6#cpe:/o:centos:centos:6##g" /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-oval.xml
[root@localhost ~]# sed -i -e "s#cpe:/o:redhat:enterprise_linux#cpe:/o:centos:centos##g" /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
[root@localhost ~]#

三、执行检查

3.1 选一个profile

[root@storage ~]# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml
Document type: XCCDF Checklist
Checklist version: 1.1
Imported: 2017-01-12T10:42:00
Status: draft
Generated: 2016-05-11
Resolved: true
Profiles:
    standard
    CS2
    common
    server
    stig-rhel6-server-upstream
    usgcb-rhel6-server
    rht-ccp
    CSCF-RHEL6-MLS
    C2S
    pci-dss
    nist-cl-il-al

在这里我们选用 usgcb-rhel6-server

3.2 执行检查

[root@localhost ~]# oscap xccdf eval --profile usgcb-rhel6-server \
--results ~/usgcb-rhel6-server.xml \
--report ~/usgcb-rhel6-server.html \
--cpe /usr/share/xml/scap/ssg/content/ssg-rhel6-cpe-dictionary.xml \
/usr/share/xml/scap/ssg/content/ssg-rhel6-xccdf.xml

上面的 usgcb-rhel6-server.html 适合人类阅读

四、输出结果

Title   Ensure /var Located On Separate Partition
Rule    partition_for_var
Ident   CCE-26639-5
Ident   DISA FSO RHEL-06-000002
Result  fail

Title   Ensure /var/log Located On Separate Partition
Rule    partition_for_var_log
Ident   CCE-26215-4
Ident   DISA FSO RHEL-06-000003
Result  fail

Title   Ensure /var/log/audit Located On Separate Partition
Rule    partition_for_var_log_audit
Ident   CCE-26436-6
Ident   DISA FSO RHEL-06-000004
Result  fail

Title   Ensure /home Located On Separate Partition
Rule    partition_for_home
Ident   CCE-26557-9
Ident   DISA FSO RHEL-06-000007
Result  fail

Title   Add noexec Option to Removable Media Partitions
Rule    mount_option_noexec_removable_partitions
Ident   CCE-27196-5
Ident   DISA FSO RHEL-06-000271
Result  fail

Title   Disable the Automounter
Rule    service_autofs_disabled
Ident   CCE-26976-1
Ident   DISA FSO RHEL-06-000526
Result  pass


.....后面还有很多.....

五、查看报告文件

把生成的 usgcb-rhel6-server.html 报告文件取回本地用浏览器打开,或者把它扔到WEB服务器上

点击标题,可看查看解决方案

六、参考

七、附件下载

hackvssec
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Centos7系统巡检.sh
08-19
Centos7系统一件巡检脚本,快速高效获取服务器状态,服务运行状态,密码过期检查等等
CentOS 6 系列iso镜像
05-07
资源简介:CentOS6镜像,x86架构,iso版本 包含版本:[6.5-x86_64-bin-DVD1],[6.8-x86_64-LiveDVD],[6.10-x86_64-bin-DVD1] 适用人群:linux学员,运维工程师,开发工程师,个人 适用场景及目标:镜像包仅可在x86...
OpenSCAP安装与使用
zhongxj183的博客
06-01 2626
OpenSCAP是RedHat支持的开源软件项目,主要为Linux操作系统提供安全合规检查和漏洞评估。
一些漏洞相关标准
2301_76786857的博客
06-04 672
本文将详细介绍几种关键的漏洞相关标准,包括通用漏洞披露(CVE)、通用漏洞评分系统(CVSS)、可扩展配置检查清单描述格式(XCCDF)、开放式漏洞评估语言(OVAL)、信息保障漏洞警报(IAVA)、通用配置枚举(CCE)、通用缺陷枚举(CWE)、通用平台枚举(CPE)、通用配置评分系统(CCSS)、开放式检查清单交互语言(OCIL)、资产报告格式(ARF)、安全内容自动化协议(SCAP)以及开放式 Web 应用安全项目(OWASP)。CVSS 的评分范围是 0 到 10,分数越高表示漏洞的风险越大。
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
多恩斯基的博客
02-12 4405
CIS(互联网安全中心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。 这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。 openscap-scanner: 扫描工具。
openSCAP
m0_46097570的博客
08-23 1807
openSCAP 1、安全内容自动化协议 (SCAP) 1.1、简介 SCAP是用于企业级Linux基础结构的标准化合规性检查解决方案。它是由美国国家标准技术研究院(NIST)维护的一系列规范,用于维护企业系统的系统安全性。 为了防御安全威胁,组织需要连续监视已部署的计算机系统和应用程序,将安全升级合并到软件中,并将更新部署到配置中。被称为“ ess-cap”的安全内容自动化协议(SCAP)包含许多开放标准,这些标准广泛用于枚举与安全性相关的软件缺陷和配置问题。进行安全监视的应用程序在测量系统以发现漏
安全漏洞SCAP规范标准
HideInTime的博客
02-21 2915
在日常的漏洞研究和管理中,通常会发现,不同漏洞平台、不同团队对于漏洞的编号、严重程度的定义通常会出现差异化。 比如以下为漏洞常见的6个要素: 我们以心脏出血漏洞为例: 这些内容都是描述心脏出血的,可以看到不同的平台有不同的编号,类别也不同,影响组件的、等级、标题都是存在差异的,那么对于安全研究人员或者漏洞管理,就不可避免的需要去识别是不是同一个漏洞,然后需要自己去判定漏洞等级和类型等,不同的人或者团队,常常就会存在如以下的矛盾点: 这缘于不同的知识面、对漏洞的认知、标准,所以才导致的..
「 网络安全常用术语解读 」安全自动化协议SCAP详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
12-30 2484
SCAP(Security Content Automation Protocol)是一种安全自动化协议,是由NIST建立的一套规范,主要用于处理网络安全漏洞和安全信息。它提供了一种标准的方法来描述、交换和管理网络安全数据,以便自动检测、响应和缓解网络安全威胁。SCAP的主要目标是提高网络安全自动化程度,促进安全社区、企业和政府机构之间的协作,以便更有效地识别、应对和预防网络安全威胁。在实际应用中,SCAP规范被广泛应用于安全扫描工具、漏洞管理系统和自动化安全报告等领域。组件描述维护组织地址。
centos6openssh9.8p1rpm包
最新发布
07-03
centos6openssh9.8p1rpm包 解压后执行install.sh自动完成安装,以集成所有用到的依赖
CentOS6使用nginx搭建web网站服务的方法
09-30
主要介绍了CentOS6使用nginx搭建web网站服务的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
centos6使用docker部署redis主从数据库操作示例
09-08
主要介绍了centos6使用docker部署redis主从数据库操作,结合实例形式分析了centos6环境下docker部署redis主从数据库相关命令与使用技巧,需要的朋友可以参考下
CIS_CentOS_Linux_6_Benchmark_v1.0.0.pdf
08-07
Overview Recommendations 1Install Updates, Patches and Additional Security Software. 1.1 Filesystem Configuration 1.2 Configure Software Updates 1.3 Advanced Intrusion Detection Environment (AIDE) 1.4 Configure SELinux . 1.5 Secure Boot Settings 1.6 Additional Process Hardening . 2 OS Services. 3 Special Purpose Services . 4 Logging and Auditing. 5 Network Configuration and Firewalls 6 System Access, Authentication and Authorization 7 User Accounts and Environment 8 Warning Banners 9 System Maintenance Appendix: Change History
winscap(有linux的帐号便可以读写linux系统中的文件)
11-25
winscap(有linux的帐号便可以读写linux系统中的文件)
scap-security-guide-doc-0.1.54-3.el7.centos.noarch.rpm
12-10
官方离线安装包,亲测可用
scap, 网络 嗅探器 ( 扫描和捕获传入数据包).zip
09-18
scap, 网络 嗅探器 ( 扫描和捕获传入数据包) 版本: 1.0生成 31rec是开放源码命令行应用程序项目,它使用系统原始插座,使你能够扫描。捕获和hexdump传入的tcp/udp/icmp 流量而无需使用任何 libcap 。 软件是为教育目的而编写的,并且希望它对于这个领域有兴
centos巡检.sh
08-19
centos巡检.sh
centos6安装ffmpeg
07-12
OS:CentOS release 6 Kernel: 2.6.32-754.35.1.el6.x86_64 ffmpeg: 2.6.8 虽然下载速度慢点,但成功安装了多台机器
RHEL 8 - 用OpenSCAP工具对RHEL进行漏洞安全合规扫描,并修复
多恩斯基的博客
06-12 1952
概念 什么是SCAP Red Hat Enterprise Linux的安全审计功能是基于安全内容自动化协议(SCAP)标准。SCAP是一个多用途的规范框架,支持自动配置、漏洞和补丁检查、技术控制合规活动和安全测量。SCAP规范创建了一个生态系统,其中安全内容的格式是众所周知和标准化的。 什么是OVAL Open Vulnerability Assessment Language (OVAL)是SCAP的基本和最古老的组成部分。与其他工具和自定义脚本不同,OVAL以声明的方式描述了资源的必要状态。OVAL
Centos操作系统的巡检指南(附shell)
weixin_51697917的博客
03-12 807
CentOS操作系统巡检是确保系统稳定运行的关键,通过检查日志、负载、磁盘空间、网络连接和服务运行状态等关键指标可以及时发现和解决问题。以上是一些常用的CentOS操作系统巡检任务和对应的shell脚本,您可以根据自己的需求进行调整和优化。这个脚本检查httpd、mysqld和sshd三个服务的运行状态,如果服务正在运行,则输出服务名和状态为running;服务是应用程序的运行环境,如果服务停止运行,可能会导致应用程序无法访问。磁盘空间是系统运行的基础资源,如果磁盘空间不足,可能会导致系统崩溃。
虚拟机上手:CentOS 6 图文安装指南
安装CentOS 6的过程将自动进行,只需按照屏幕提示操作即可。安装过程中,你将选择语言、时区、分区方案、网络设置以及root用户的密码。默认的分区方案通常能满足初学者的需求,但如果你有特定需求,也可以选择自定义...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值