Share

OpenSCAP est un outil de test de politique securité opensource.
Saviez vous que SUSE fournissait plus de 200 règles de sécurité via son SCAP Security Guide ?

En plus du guide de durcissement de SLES, il existe plusieurs labels de recommandations : STIG DISA, CIS, ANSSI, …
SUSE publie un fichier contenant plus de 200 règles correspondant à ces labels sur son site.

Suivez ce blog pas-à-pas pour analyser votre parc de machines GNU/Linux en un clin d’oeil.

Téléchargement du fichier sur le SUSE MANAGER

Première étape, nous allons récuperer le fichier SCAP Security Guide sur le SUSE Manager, pour qu’il puisse être distribuer sur les machines.

mkdir -p /srv/salt/ssg-sles/
cd /srv/salt/ssg-sles/
wget ftp://ftp.suse.com/pub/projects/security/STIG/SLES_12_SCAP_BETA/ssg-sle12-ds.xml

Création d’un Configuration Channel avec Salt

Nous allons profiter de l’intégration de Salt dans SUSE Manager pour installer les packages openSCAP et le fichier de règle sur notre parc.

Dans SUMA allez dans Configuration > Configuration Channels > + Create State Channel

Name: Openscap Commons
Label: openscap-commons
Description: Openscap RPMs pour SLES et RH/Centos

SLS Contents:

openscap_packages:
 file.managed:
 - name: /usr/local/share/ssg-sle12-ds.xml
 - source: salt://ssg-sles/ssg-sle12-ds.xml
 - makedirs: true
 - user: root
 - group: root
 - mode: '0644'
 pkg.installed:
 - pkgs:
 - openscap
 - openscap-utils
 - spacewalk-oscap
 {% if grains['os_family'] == 'Suse' %}
 - openscap-content
 {% endif %}
 {% if grains['os_family'] == 'RedHat' %}
 - scap-security-guide
 {% endif %}

Puis cliquez sur Create Config Channel

Ajouter les systemes au configuration channel

Une fois notre channel créé, ajoutons les machines que nous souhaitons scanner.

Dans Configuration > Overview cliquer sur Openscap Commons
Dans Systems > Target Systems sélectionner les systèmes qui doivent recevoir les RPMs et le fichier de règle

Puis cliquez sur Subscribe systems

Lancer un Audit openSCAP

Maintenant nous sommes prêt, il est l’heure de lancer un scan et vérifier l’état sécurité de notre machine.

Allez dans Audit > Schedule

Pour SLES :

Command-line Arguments: –profile xccdf_org.ssgproject.content_profile_stig-sle12-disa
File System Path: /usr/local/share/ssg-sle12-ds.xml

Pour RHEL ou CentOS

Command-line Arguments: –profile xccdf_org.ssgproject.content_profile_standard
File System Path: /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

Allez dans Audit > List Scans, Cliquer sur un scan pour avoir le detail.

Voir la vidéo

Share
(Visited 1 times, 1 visits today)
Tags: , , , ,
Category: Compliance, IT Infrastructure Management, SUSE Manager, Technical Solutions
This entry was posted vendredi, 21 août, 2020 at 8:09
You can follow any responses to this entry via RSS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

No comments yet