Robustecimento de Linux com OpenSCAP

O projecto OpenSCAP é uma colecção de ferramentas de código aberto para implementar e fazer cumprir esta norma, e foi reconhecido com a certificação SCAP 1.2 pelo NIST em 2014. O projecto disponibiliza ferramentas gratuitas que podem ser utilizadas em qualquer lado, para qualquer fim.

As ferramentas básicas do OpenSCAP são:

  • OpenSCAP Base
    • Fornece uma ferramenta de linha de comandos que permite várias funcionalidades SCAP, como exibir as informações sobre conteúdos de segurança específicos, vulnerabilidades e converter entre diferentes formatos SCAP.
  • SCAP Workbench
    • Utilitário gráfico que disponibiliza uma forma fácil de adaptar os conteúdos SCAP às necessidades específicas de cada utilizador, executar scan remotos e locais e exportar resultados.

    Usar OpenSCAP em Ubuntu

    Quando escrevi este artigo, não existia um pacote disponível para instalar o OpenSCAP Workbench no Ubuntu. No entanto, é possível utilizar o OpenSCAP Base sem a GUI, ou correr um scan remoto a partir de outra máquina, Windows ou Linux.

    Instalar o OpenSCAP

    Instalar o SSH

    sudo apt-get install openssh-server

    Instalar o OpenSCAP Base:

    sudo apt-get install libopenscap8

    Obter o ficheiro OVAL:

    wget https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.xenial.cve.oval.xml

    Executar o OpenSCAP

    Este é um exemplo da utilização do comando básico: 

    oscap oval eval --results /tmp/results-xenial.xml --report /tmp/report-xenial.html com.ubuntu.xenial.cve.oval.xml

    Pode obter uma lista completa de opções aqui.

    Para ver os resultados: 

    firefox /tmp/report-xenial.html

    image

    Usar OpenSCAP em Fedora 25

    Em Fedora, pode instalar não apenas o scanner mas também a GUI.

    Instalar o OpenSCAP

    Instalar o OpenSCAP Base com o DNF:

    dnf install openscap-scanner

    Instalar o SCAP Workbench:

    dnf install scap-workbench

    Executar o OpenSCAP

    Para executar a aplicação em Fedora escreva:

    sudo scap-workbench

    Ou utilize a GUI:

    image 

    SCAP Security Guide:

    image

    Execute um scan local escolhendo os testes de conformidade General-Purpose:

    image 

    Resultados iniciais:

    image

    O relatório:

    image 

    Explicação de uma das vulnerabilidades:

    image

    Agrupar por…

    image

    Uma das melhores características do OpenSCAP é a sua capacidade para automaticamente corrigir algumas das vulnerabilidades encontradas.

    Tente correr um scan escolhendo a opção Remediate:

    image 

    A pontuação global não melhorou, mas algumas das falhas de baixa e média gravidade foram automaticamente corrigidas depois do scan:

    image

    Crie um scan personalizado. Comece com um pequeno e simples:

    image

    Altere o nome:

    image

    Adicione alguns scans:

    image

    Inicie:

    image

    Vai obter novos resultados em função dos pedidos personalizados:

    image

    Usar OpenSCAP em CentOS 7

    Neste SO os procedimentos são quase idênticos aos do Fedora.

    Instalar o OpenSCAP

    Instalar o OpenSCAP Base com o Yum:

    yum install openscap-scanner

    Instalar o SCAP Workbench:

    yum install scap-workbench

    Executar o OpenSCAP

    Para executar a aplicação em CentOS escreva:

    sudo scap-workbench

    Ou use a GUI:

    image 

    SCAP Security Guide:

    image 

    Execute um scan local escolhendo os testes de conformidade General-Purpose. Escolha a opção Fetch Remote Resources.

    image

    Repare na disponibilidade de diversos STIGS e outros padrões de conformidade.

    Aqui estão os resultados:

    image

    Agora execute o mesmo scan mas com a opção Remediate. Este é o novo relatório:

    image

    Vai obter a mesma pontuação global mas a vasta maioria das falhas foi corrigida.

    Usar OpenSCAP em Windows

    Não é possível fazer scan a uma máquina Windows porque não há OpenSCAP Base para este SO. Todavia, pode instalar o OpenSCAP Worbench e usá-lo para fazer scan remoto a máquinas Linux Smile

    Instalar o OpenSCAP

    Obter e instalar a aplicação OpenSCAP Workbench:

    https://www.open-scap.org/tools/scap-workbench/download-win32

    image

    Obter o SCAP Security Guide:

    https://github.com/OpenSCAP/scap-security-guide/releases/download/v0.1.31/scap-security-guide-0.1.31-oval-5.10.zip

    Extrair todos os ficheiros para qualquer directoria:

    image 

    Copiar todos os ficheiros .xml para a directoria de instalação do SCAP Workbench, substituindo os existentes.

    image 

    Executar o OpenSCAP

    Agora pode executar um scan remoto a uma máquina Ubuntu Winking smile

    image

    Resultados:

    image

    Tente a opção Remediate remotamente:

    image

    Não foi muito bom, mas funciona!

    Conclusão:

    O OpenSCAP é uma ferramenta maravilhosa, mas embora os SCAP benchmarks sejam realmente úteis quando podem ser usados, não são uma solução mágica. A maioria dos SCAP benchmarks não cobre todas as verificações encontradas na revisão manual do respectivo STIG. Algumas delas são coisas que não podem ser automatizadas. Assim, na melhor das hipóteses, os SCAP benchmarks irão cobrir apenas uma certa percentagem das verificações do STIG Manual Review.

    Artigo anterior: Robustecimento de Linux com OpenVAS

    Próximo artigo: Robustecimento de Windows 10 (Parte I)