OpenSCAP 基本使用

Steven大约 7 分钟

OpenSCAPopen in new window 是一个遵循 SCAP 标准的开源工具，目的是根据安全策略和配置文件评估本地系统的漏洞和标准配置。 OpenSCAP 支持基线核查（漏洞扫描/配置评估/合规性核查），报告和自动修复，目前主要有 Redhat 进行维护。

提示

为什么使用 OpenSCAP 做基线核查？

完成度高
支持 SCAP 组件：检查项（CCE），检查方式（OVAL）和基线标准化（PCI,STIG）等 NIST 和 MITRE 维护的美国政府或者行业标准
支持多种运行方式(bash/ansible/openscap)
支持问题修复
容易扩展，二次开发制作自定义的基线可用的高质量资源较多

基本功能

OpenSCAP 的使用围绕解析基线配置文件和执行基线评估展开，其他功能均为此服务。

执行工具和基线库

OpenSCAP 由工具和基线库（benchmark）两个部分组成：

工具 oscap 提供规则解析和执行功能

Ubuntu

sudo apt install libopenscap8
oscap -V

Centos

yum install openscap-utils
yum install openscap-scanner

基线库提供机器可读格式（XCCDF）文件。其内容一般由 STIG（和其他安全准则）转换得来。OpenSCAP 可以使用该格式扫描系统的漏洞和合规性。基线库如：
- SSG（SCAP Security Guide，SCAP 安全指导）open in new window
  Ubuntu
  # 下载 sudo apt install ssg-debderived # You can install SCAP Security Guide on Ubuntu 18.04 and newer using apt: apt install ssg-base ssg-debderived ssg-debian ssg-nondebian ssg-applications
  参考：
  - https://ubuntu.com/security/disa-stigopen in new window
  Centos
  $ yum install scap-security-guide
- 开源项目 ComplianceAsCodeopen in new window
```
sudo wget https://github.com/ComplianceAsCode/content/releases/download/v0.1.69/scap-security-guide-0.1.69.zip
```

提示

OpenSCAP 工具和基线库两者没有紧密的耦合关系，比如使用 http://vuls.ioopen in new window 也可以运行部分基线库，基线库部分功能也支持使用 ansible 和 bash 来执行。

例子：

评估清单 /code/demo-scap-tools/try-openscap-01/ssg-ubuntu2204-ds-1.2.xml.html

扫描基线和扫描结果

有了 oscap 工具和基线库后，可通过 oscap info ssg-ubuntu2004-ds-1.2.xml 查看内容：

$ oscap info ssg-ubuntu2204-ds-1.2.xml
Document type: Source Data Stream
Imported: 2023-08-02T09:12:43

Stream: scap_org.open-scap_datastream_from_xccdf_ssg-ubuntu2204-xccdf.xml
Generated: (null)
Version: 1.2
Checklists:
        Ref-Id: scap_org.open-scap_cref_ssg-ubuntu2204-xccdf.xml
                Status: draft
                Generated: 2023-08-02
                Resolved: true
                Profiles: # 💡配置文件
                        Title: CIS Ubuntu 22.04 Level 1 Server Benchmark
                                Id: xccdf_org.ssgproject.content_profile_cis_level1_server
                        Title: CIS Ubuntu 22.04 Level 1 Workstation Benchmark
                                Id: xccdf_org.ssgproject.content_profile_cis_level1_workstation
                        Title: CIS Ubuntu 22.04 Level 2 Server Benchmark
                                Id: xccdf_org.ssgproject.content_profile_cis_level2_server
                        Title: CIS Ubuntu 22.04 Level 2 Workstation Benchmark
                                Id: xccdf_org.ssgproject.content_profile_cis_level2_workstation
                        Title: Standard System Security Profile for Ubuntu 22.04
                                Id: xccdf_org.ssgproject.content_profile_standard
                Referenced check files:
                        ssg-ubuntu2204-oval.xml
                                system: http://oval.mitre.org/XMLSchema/oval-definitions-5
                        ssg-ubuntu2204-ocil.xml
                                system: http://scap.nist.gov/schema/ocil/2
Checks:
        Ref-Id: scap_org.open-scap_cref_ssg-ubuntu2204-oval.xml
        Ref-Id: scap_org.open-scap_cref_ssg-ubuntu2204-ocil.xml
        Ref-Id: scap_org.open-scap_cref_ssg-ubuntu2204-cpe-oval.xml
Dictionaries:
        Ref-Id: scap_org.open-scap_cref_ssg-ubuntu2204-cpe-dictionary.xml

针对 ssg 文件的 profile xccdf 配置，使用 oscap xccdf eval 进行评估：

# oscap [options] module operation [operation-options-and-arguments]
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --report report.html ssg-ubuntu2204-ds-1.2.xml
# --results results.xml 可用于问题修复
oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_standard --report report.html --results results.xml ssg-ubuntu2204-ds-1.2.xml

例子：

评估系统 /code/demo-scap-tools/try-openscap-01/target-info.txt.html
评估报告（xml） /code/demo-scap-tools/try-openscap-01/results.xml.html
评估报告（html） /code/demo-scap-tools/try-openscap-01/report.xml.html

针对扫描结果进行修复

todo RMF（Risk Management Framework，风险管理框架）open in new window 是 NIST 的出版物，为如何有效管理信息安全和隐私风险提供了指导，为组织提供了一种系统的方法来识别、评估、响应和监控与其信息系统和资产相关的风险。

--results results.xml 生成如下结果：

<!-- 对应的 XCCDF 检查清单检查项 -->
<rule-result idref="ensure_gpgcheck_globally_activated" time="2023-02-16T10:03:43" severity="high" weight="1.000000">
  <!-- 通过/失败/不适用 -->
  <result>pass</result>
  <!-- 对应的检查项问题 -->
  <ident system="http://cce.mitre.org">CCE-83457-2</ident>
  <!-- 对应的 OVAL 检查项检查实现（检查方式） -->
  <check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
    <check-content-ref name="oval:ssg:def:413" href="ssg-rhel9-oval.xml"/>
  </check>
</rule-result>
......
<rule-result idref="package_aide_installed" time="2023-02-16T10:03:43" severity="medium" weight="1.000000">
  <result>pass</result>
  <ident system="http://cce.mitre.org">CCE-90843-4</ident>
  <!-- 修正的 bash 脚本 -->
  <fix xmlns:xhtml="http://www.w3.org/1999/xhtml" system="urn:xccdf:fix:script:sh">
    yum -y install aide
  </fix>
  <check system="http://oval.mitre.org/XMLSchema/oval-definitions-5">
    <check-content-ref name="oval:ssg:def:245" href="ssg-rhel9-oval.xml"/>
  </check>
</rule-result>

生成修复脚本

# 生成 bash 脚本
oscap xccdf generate fix --profile xccdf_org.ssgproject.content_profile_standard results.xml
# oscap xccdf generate fix --profile xccdf_org.ssgproject.content_profile_standard -o fix.sh results.xml

# 生成 ansible 脚本
oscap xccdf generate fix --profile xccdf_org.ssgproject.content_profile_standard --fix-type ansible results.xml

例子：

问题修复脚本 /code/demo-scap-tools/try-openscap-01/fix.sh.html

组件

$ oscap -h
oscap

OpenSCAP command-line tool

Usage: oscap [options] module operation [operation-options-and-arguments]

oscap options:
   -h --help                     - show this help
   -q --quiet                    - quiet mode
   -V --version                  - print info about supported SCAP versions

Commands:
    ds - DataStream utilities
    oval - Open Vulnerability and Assessment Language
    xccdf - eXtensible Configuration Checklist Description Format
    cvss - Common Vulnerability Scoring System
    cpe - Common Platform Enumeration
    cve - Common Vulnerabilities and Exposures
    cvrf - Common Vulnerability Reporting Framework
    info - info module

OVAL 组件

OVAL 系统信息收集 —— 解析 OVAL 定义，收集系统信息，生成 OVAL 评估结果

# 评估 scap-oval.xml 中的所有定义，生成 oval-results.xml 评估结果
oscap oval eval --results oval-results.xml scap-oval.xml
# 评估特定 oval:rhel:def:1000 定义
oscap oval eval --id oval:rhel:def:1000 --results oval-results.xml scap-oval.xml
# 评估 OVAL 组件的所有定义，这些定义是 SCAP 数据流集合中特定数据流的一部分
oscap oval eval --datastream-id ds.xml --oval-id xccdf.xml --results oval-results.xml scap-ds.xml

XCCDF 组件

XCCDF 基准评估 —— 在评估 XCCDF 基准时，oscap 会处理 XCCDF 文件、OVAL 文件、 CPE 词典。执行这些系统分析，并在此分析的基础上产生 XCCDF 结果

# 评估 XCCDF 文件中的特定配置文件
# | scap-xccdf.xml     是 XCCDF 文档
# | Desktop            是从 XCCDF 文档中选择的配置文件
# | xccdf-results.xml  是存储扫描结果的文件
# | cpe-dictionary.xml 是 CPE 词典
oscap xccdf eval --profile Desktop --results xccdf-results.xml --cpe cpe-dictionary.xml scap-xccdf.xml
# 指定要评估的规则
# 这里的规则 “sures_gpgcheck_globally_activated” 是 “Desktop” 配置文件中将要评估的唯一规则
oscap xccdf eval --profile Desktop --rule ensure_gpgcheck_globally_activated  --results xccdf-results.xml --cpe cpe-dictionary.xml scap-xccdf.xml
# 评估作为 SCAP DataStream 集合内 DataStream 一部分的特定 XCCDF 基准
# | scap-ds.xml       是表示 SCAP DataStream 集合的文件
# | ds.xml            是特定的 DataStream
# | xccdf.xml         是指向所需 XCCDF 文档的 component-ref 的 ID
# | xccdf-results.xml 是包含以下内容的文件扫描结果
oscap xccdf eval --datastream-id ds.xml --xccdf-id xccdf.xml --results xccdf-results.xml scap-ds.xml

# 生成 arf 格式的评估结果
oscap xccdf eval --benchmark-id Benchmark_id --results-arf arf-results.xml scap-ds.xml
# 生成可导入 DISA STIG Viewer 的评估结果
oscap xccdf eval --profile stig-rhel7-disa --stig-viewer results-stig.xml ssg-rhel7-ds.xml

STIG Viewing Tools https://public.cyber.mil/stigs/srg-stig-tools/

例子：

# 列出当前可用的基线库
$ ll /usr/share/xml/scap/ssg/content/ | grep xccdf`
-rw-r--r-- 1 root root 5086947 Aug 23 2019 ssg-centos6-xccdf.xml
-rw-r--r-- 1 root root 8156658 Aug 23 2019 ssg-centos7-xccdf.xml # 当前系统为 Centos 7，所以选择 ssg-centos7-xccdf.xml
-rw-r--r-- 1 root root 145235 Aug 23 2019 ssg-firefox-xccdf.xml
-rw-r--r-- 1 root root 113243 Aug 23 2019 ssg-jre-xccdf.xml # 如果系统安装了 Java 环境，之后也可以使用 ssg-jre-xccdf.xml 对 Java 进行核查
-rw-r--r-- 1 root root 5410079 Aug 23 2019 ssg-rhel6-xccdf.xml
-rw-r--r-- 1 root root 8671063 Aug 23 2019 ssg-rhel7-xccdf

# 查看基线库内容
# 里面有 5 个基线（Profiles），不同的基线检查项目数量和结果判断标准不同
$ oscap info /usr/share/scap-security-guide/ssg-ubuntu1604-xccdf.xml
Document type: XCCDF Checklist
Checklist version: 1.1
Imported: 2017-08-11T17:18:08
Status: draft
Generated: 2017-08-11
Resolved: true
Profiles:
Title: Common Profile for General-Purpose Ubuntu Systems
Id: common # 基线 1：如果是 Centos7，可以选择 standard
Title: Profile for ANSSI DAT-NT28 Minimal Level
Id: anssi_np_nt28_minimal # 基线 2
Title: Profile for ANSSI DAT-NT28 Average (Intermediate) Level
Id: anssi_np_nt28_average # 基线 3
Title: Profile for ANSSI DAT-NT28 Restrictive Level
Id: anssi_np_nt28_restrictive # 基线 4
Title: Profile for ANSSI DAT-NT28 High (Enforced) Level
Id: anssi_np_nt28_high # 基线 5
Referenced check files:
ssg-ubuntu1604-oval.xml
system: http://oval.mitre.org/XMLSchema/oval-definitions-5
ssg-ubuntu1604-ocil.xml
system: http://scap.nist.gov/schema/ocil/2

# 执行核查，生成报告
# --profile 指定基线 Id
# --results-arf 指定生成的 arf 报告文件
# --report 指定生成的 html 报告文件名
oscap xccdf eval --profile standard --results-arf arf.xml --report report.html /usr/share/xml/scap/ssg/content/ssg-centos7-xccdf.xml

ARF（Asset Reporting Format，资产报告格式） 方便结果传输的一种格式，也被称为 RD（Result DataStream，结果数据流）。

构成

OpenScap 构成：

OpenSCAP Base —— 即 oscap 命令行工具，本地扫描，适合做一次性的服务。（1.2.3 开始有支持 ssh 的远程扫描。远程扫描需要在远程主机上已经安装 OpenSCAP Base）
OpenSCAP Daemon —— 守护进程工具，功能同 OpenSCAP Base，适合做持续的合规服务
SCAP Workbench —— 图形界面，功能同 SCAP Base，适合入门，可视化操作
SCAP Timony —— 中间件，数据存储服务，用于存储基础结构的 SCAP 结果，然后允许对存储的数据进行操作。一般搭配 OpenSCAP Daemon 使用