openscap

SCAP 合规性检查器 5.9 - 无法加载 Ubuntu DIS STIG 22.04
openscap

SCAP 合规性检查器 5.9 - 无法加载 Ubuntu DIS STIG 22.04

我正在尝试导入/加载在 STIG 库中找到的 DISA STIG Ubuntu 22.04,但它一直提供有关内容类型的信息。https://dl.dod.cyber.mil/wp-content/uploads/stigs/zip/U_CAN_Ubuntu_22-04_LTS_V1R1_STIG.zip.... 我还在 5.9 客户端上运行了内容更新,即使 DIS STIG Ubuntu 22.04 现已推出,Ubuntu 22.04 也没有显示在列表中。有人知道我该如何解决这个问题吗? ...

Admin

使用排除项自动修复无头 RHEL 8.9 AMI
openscap

使用排除项自动修复无头 RHEL 8.9 AMI

我正在尝试自动修复无头 RHEL 8.9 AMI。修复的最佳方法是什么除特定子集的 STIG 要求外,其他所有要求?即,我们知道有 4 个 STIG 要求会破坏我们的构建,并且我们对它们有例外。换句话说,我如何补救除特定子集之外的所有 STIG 要求?这可能吗? 我曾考虑使用它sudo oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig --results scan-xccdf-results.xml /usr/share/xml/scap/ssg/content/ssg-...

Admin

Openscap 工作台
openscap

Openscap 工作台

我在本地机器上设置了 Openscap Workbench,导入了包含 ubuntu-2004 配置文件的 ssg,并成功将 ssg.xml 传输到远程服务器。然后我使用该openscap eval命令执行扫描。 扫描产生了配置文件的预期输出 xccdf_org.ssgproject.content_profile_cis_level2_server 但是,我在定制文件方面遇到了问题。我尝试禁用 AIDE 等简单检查,但似乎不起作用。我使用以下命令手动运行评估: sudo oscap xccdf eval --profile xccdf_org.ssgpr...

Admin

Openscap 扫描仪错误地失败了多个 DNS 规则,我不确定为什么
openscap

Openscap 扫描仪错误地失败了多个 DNS 规则,我不确定为什么

我正在尝试使用 openscap 工具强化 UBI 8 基础镜像。扫描器有一条规则:xccdf_org.ssgproject.content_rule_network_configure_name_resolution,它检查 /etc/resolv.conf 文件中的多个 DNS 服务器。测试失败,但当我从镜像内部检查该文件的内容时,发现有 4 个名称服务器。检查这一点的测试是一个正则表达式,当将其放入正则表达式测试器中,resolv.conf 的输出返回 4 个匹配项(预期)。我已检查文件权限,文件可供所有人读取。 任何帮助都将非常感激。 编辑(nssw...

Admin

寻找适用于 Amazon Linux 2 和 Amazon Linux 2023 的更新 SSG
openscap

寻找适用于 Amazon Linux 2 和 Amazon Linux 2023 的更新 SSG

是否有适用于 Amazon Linux 2 和 Amazon Linux 2023 的新数据流和 xccdf 清单? 我可以在 Amazon Linux 2 服务器上安装 scap-security-guide,但数据流 xml 文件和 xccdf xml 文件是 2019 年的,带有极其过时的 DISA STIG RHEL7 配置文件。 基于 DISA 的 STIG 版本构建新配置文件的方法是什么? ...

Admin

源 DataStream 文件中的 OpenSCAP SCE 脚本
openscap

源 DataStream 文件中的 OpenSCAP SCE 脚本

我是 OpenSCAP 的新手,对 SCE 脚本和 DataStream 格式有疑问。 新加坡文档对于 OpenSCAP 状态: SCE 脚本可以作为源数据流的一部分。数据流是一种将多个 SCAP 组件打包到单个文件中的格式。 如何将 shell 脚本封装到 DataStream 文件中并在 xccdf 规则定义中使用?我找不到任何此类示例,文档也没有提供示例或语法。 这线程表明有一个“扩展组件”标签,但我仍然不知道该标签的用法。 非常感谢您的帮助。 ...

Admin

从 Rocky Linux 9 中删除 CIS Level 2 RH 配置文件
openscap

从 Rocky Linux 9 中删除 CIS Level 2 RH 配置文件

我在安装时选择了 Redhat CIS 服务器级安全配置文件,现在我看到很多限制。我想从我的 Rocky Linux 9 中删除此安全配置文件。 我已经测试了 Openscap 扫描,在具有上述安全配置文件的情况下,其通过率仅有 62%。 请告诉我如何在安装后删除或添加安全配置文件。 问候 Arvind ...

Admin

oscap-ssh 扫描 ubuntu22.04 结果不适用
openscap

oscap-ssh 扫描 ubuntu22.04 结果不适用

请告诉我是否有任何选项可以使用 openscap 检查 ubuntu22.04 上的工作站。我为 Ubuntu22.04 下载了 ssg,但当我尝试检查时,我得到的结果不是所有点都适用.....我使用 oscap-ssh 进行远程扫描。你有什么想法吗? ...

Admin

获得两个不同 OSCAP 版本的“差异”?
openscap

获得两个不同 OSCAP 版本的“差异”?

我正在尝试获取在应用不同版本时执行的命令的“差异” ,特别是在和中oscap-anaconda-addon应用的 STIG 。RHEL 7.9AlmaLinux 9.1 背景:我们有一个安全设备,最初基于 RedHat 7.9,现在正在将其迁移到 AlmaLinux 9.1。到目前为止,我们已经发现两个平台之间存在配置差异,并进行了大量“经验发现”。 我们可以相当容易地解决其中的大部分问题,但是 OSCAP 差异是不透明的,因为它们最终是基于openscap复杂的底层软件包的差异。 理想情况下,我想知道每个版本的附加组件运行了哪些补救命令。如果能给我一些指导...

Admin

oscap 工具可以在容器上运行来扫描主机虚拟机吗?
openscap

oscap 工具可以在容器上运行来扫描主机虚拟机吗?

openscap 的 oscap 工具可以在容器上运行来扫描主机虚拟机吗? 注意:它在 RHEL 容器上运行良好(安装后) Dockerfile FROM registry.access.redhat.com/ubi8/ubi:latest RUN yum -y update RUN yum -y install -y openscap-scanner COPY benchmark.xml benchmark.xml ...

Admin

OpenSCAP Workbench 自定义数据流文件
openscap

OpenSCAP Workbench 自定义数据流文件

当我尝试定制该数据流文件时,出现以下错误: 打开文件‘/Applications/scap-workbench.app/Contents/Resources/ssg/ssg-rhel7-ds.xml’。 打开文件时出错。 ScanningSession 出现问题!无法重新加载会话。OpenSCAP 错误消息:无法从数据流中提取 scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml 及其所有依赖项。[ds_sds_session.c:211] 我有这个版本:SCAP Workbench 1.1.5,用 Qt 4.8.7...

Admin

Ubuntu 20.04 CIS xccdf 基准
openscap

Ubuntu 20.04 CIS xccdf 基准

我希望有人知道在哪里可以找到带有 CIS 基准的 Ubuntu 20.04 的 xccdf 文件,以便与 Openscap 一起运行。看起来开箱即用的 Openscap 仅包含 RHEL、firefox 和 java。我看到 Ubuntu 安全指南可能是一个选择,但我正在寻找免费的东西。 谢谢! ...

Admin

OpenScap 扫描结果为假阳性
openscap

OpenScap 扫描结果为假阳性

我最近在 SLES 12 机器上运行了 OpenScap Audit 扫描,结果似乎是误报。 例如对于这两项检查: 1)确保 sudo logfile 存在 - sudo logfile 此商品的描述中提到: 可以使用“logfile”标签配置自定义日志 sudo 文件。此规则在 CIS 建议的默认位置配置 sudo 自定义日志文件,即 /var/log/sudo.log。 我已经检查过服务器,并且该条目已经存在: ldefra-s12d:~ # grep 'logfile' /etc/sudoers Defaults logfile="/var/log...

Admin

oscap-chroot:uname 探测器不支持离线模式
openscap

oscap-chroot:uname 探测器不支持离线模式

我们正在尝试使用 ubuntu 20 上的 oscap-chroot 扫描离线挂载,但我们收到以下错误:W:oscap:uname 探测器不支持请求的离线模式。您能帮忙解决这个问题吗? ...

Admin