共计 2107 个字符,预计需要花费 6 分钟才能阅读完成。
背景
近日,龙蜥操作系统(Anolis OS)上游发行版 Alibaba Cloud Linux 2/3(以下简称 Alinux 2/3)以及统信软件 UnionTech OS Server v20(以下简称 UOS v20)先后实现与国内出名平安社区 OpenSCAP 的产品反对整合,并成为 OpenSCAP 官网首批反对的国内 OS 产品。
SCAP(Security Content Automation Protocol,平安内容自动化协定)是由 NIST(National Institute of Standards and Technology,美国国家标准与技术研究院)保护的一套规范,用于标准软件产品的平安基线核查与脆弱性评估,是以后国内上比拟成熟的一套信息安全评估规范体系,其标准化、自动化的思维对信息安全行业产生了深远的影响。
OpenSCAP 我的项目是用于施行和执行 SCAP 规范的开源工具汇合,并于 2014 年取得 NIST 颁发的 SCAP 1.2 认证。调研发现,OpenSCAP 不仅在 CentOS、Debian 和 Ubuntu 等泛滥出名 OS 发行版中被宽泛内置,也被 Wazuh 等平安产品间接集成。OpenSCAP 开源我的项目蕴含一系列的工具和大量的安全策略:
- SCAP Workbench:一个 GUI 的交互界面;
- OpenSCAP:library 和 CLI 命令行工具(oscap 等);
- SCAP Security Guide(SSG):SCAP 平安指南;
- Script Check Engine(SCE):脚本查看引擎(可选)。
其中 SSG 包含针对大量 OS 发行版及软件产品的平安扫描策略,是 OpenSCAP 进行平安合规基线查看、修复及脆弱性评估的重要依据。
Alinux 与 UOS 在 OpenSCAP 的整合
龙蜥社区生态搭档联合上游 OS 发行版产品(Alinux 2/3、UOS v20),通过 OS 产品反对整合,安全策略对接,近日先后实现在 OpenSCAP 我的项目上的官网集成,成为 OpenSCAP 规范反对的国内 OS 发行版。
Alinux 与 UOS 实现 OpenSCAP 的集成具备以下意义:
- 如下图所示,Alinux 2/3 与 UOS v20 成为 OpenSCAP 官网反对的首批国内 OS,可能应用 OpenSCAP 规范的安全策略扫描 Alinux 2/3 以及 UOS v20;
- Alinux 的 CIS 安全策略失去了 OpenSCAP 的认可与集成,用户能够间接应用 OpenSCAP 的产品扫描与检测 Alinux 环境是否满足 CIS 规范要求等;
- OpenSCAP 产品除规范策略、CIS 策略外,还反对大量其它合规要求的规范策略,如 HIPAA、PCI-DSS 等,将来这些安全策略也可能利用于 Alinux 2/3 以及 UOS v20 等环境,用来核查与调整系统配置,以满足不同场景下的平安合规需要;
- OpenSCAP 是大量 Linux 发行版内置的出名平安工具,Alinux 与 UOS 实现与 OpenSCAP 的整合后,也可能作为规范平安工具集,更好地服务于 Alinux 2/3 与 UOS v20 发行版的用户。
此外,围绕龙蜥社区与上游发行版的平安生态,以 Alinux 为例,这是继 CIS 之后第二个官网反对 Alinux 2/3 的国内平安社区。OpenSCAP 官网反对 Alinux 2/3 后,Alinux 2/3 CIS 相干的平安基线也可能奉献到 OpenSCAP 社区,从而进一步提高 Anolis / Alinux 的平安合规能力,为将来更好地服务 Alinux 以及 龙蜥操作系统(Anolis OS)的用户打下松软的根底。
OpenSCAP 扫描实际
在编译与装置 openSCAP 及 SSG 后,咱们即可对其进行测试。本节以 Alibaba Cloud Linux 2 CIS 策略的扫描为例给出局部的后果。
# 进入装置目录(以 `/usr/local/share/xml/scap/ssg/content` 为例)cd /usr/local/share/xml/scap/ssg/content
# 抉择 Alibaba Cloud Linux 2 CIS profile
oscap xccdf eval --profile "xccdf_org.ssgproject.content_profile_cis" --results-arf results.xml --report report.html ssg-alinux2-ds.xml关上对应的检测后果文件 report.html,如下图所示,能够看到对应的检测后果(passed、failed 等),也能够进一步开展查看具体某一安全策略的核查后果以及查看日志等。
总结与瞻望
将来咱们还会继续加强龙蜥社区与 OpenSCAP 平安社区的单干,在 OpenSCAP 社区原生反对龙蜥操作系统(Anolis OS)以及更多的龙蜥社区上游发行版 OS 及其对应的安全策略。同时围绕 OpenSCAP 的其它组件(比方 library 和 CLI 命令行工具等)进一步深刻单干与踊跃奉献,使得龙蜥社区的平安生态更加凋敝。
相干链接:
OpenSCAP 地址链接:https://github.com/OpenSCAP/o…
SCAP Security Guide(SSG):https://github.com/Compliance…
—— 完 ——