头图

背景

近日,龙蜥操作系统(Anolis OS)下游发行版 Alibaba Cloud Linux 2/3(以下简称Alinux 2/3)以及统信软件 UnionTech OS Server v20(以下简称 UOS v20)先后完成与国际知名安全社区 OpenSCAP 的产品支持整合,并成为 OpenSCAP 官方首批支持的国内 OS 产品。

SCAP(Security Content Automation Protocol,安全内容自动化协议)是由 NIST(National Institute of Standards and Technology,美国国家标准与技术研究院)维护的一套标准,用于规范软件产品的安全基线核查与脆弱性评估,是当前国际上比较成熟的一套信息安全评估标准体系,其标准化、自动化的思想对信息安全行业产生了深远的影响。

OpenSCAP 项目是用于实施和执行 SCAP 标准的开源工具集合,并于 2014 年获得 NIST 颁发的 SCAP 1.2 认证。调研发现,OpenSCAP 不仅在 CentOS、Debian 和 Ubuntu 等众多知名 OS 发行版中被广泛内置,也被 Wazuh 等安全产品直接集成。OpenSCAP 开源项目包含一系列的工具和大量的安全策略:

  • SCAP Workbench:一个 GUI 的交互界面;
  • OpenSCAP:library 和 CLI 命令行工具(oscap 等);
  • SCAP Security Guide(SSG):SCAP 安全指南;
  • Script Check Engine(SCE):脚本检查引擎(可选)。

其中 SSG 包括针对大量 OS 发行版及软件产品的安全扫描策略,是 OpenSCAP 进行安全合规基线检查、修复及脆弱性评估的重要依据。

Alinux 与 UOS 在 OpenSCAP 的整合

龙蜥社区生态伙伴结合下游 OS 发行版产品(Alinux 2/3、UOS v20),通过 OS 产品支持整合,安全策略对接,近日先后完成在 OpenSCAP 项目上的官方集成,成为 OpenSCAP 标准支持的国内 OS 发行版。

Alinux 与 UOS 完成 OpenSCAP 的集成具有以下意义:

  1. 如下图所示,Alinux 2/3 与 UOS v20 成为 OpenSCAP 官方支持的首批国内 OS,能够使用 OpenSCAP 标准的安全策略扫描 Alinux 2/3 以及 UOS v20;

  1. Alinux 的 CIS 安全策略得到了 OpenSCAP 的认可与集成,用户可以直接使用 OpenSCAP 的产品扫描与检测 Alinux 环境是否满足 CIS 标准要求等;
  2. OpenSCAP 产品除标准策略、CIS 策略外,还支持大量其它合规要求的标准策略,如 HIPAA、PCI-DSS 等,未来这些安全策略也能够应用于 Alinux 2/3 以及 UOS v20 等环境,用来核查与调整系统配置,以满足不同场景下的安全合规需求;
  3. OpenSCAP 是大量 Linux 发行版内置的知名安全工具,Alinux 与 UOS 完成与 OpenSCAP 的整合后,也能够作为标准安全工具集,更好地服务于 Alinux 2/3 与 UOS v20 发行版的用户。

此外,围绕龙蜥社区与下游发行版的安全生态,以 Alinux 为例,这是继 CIS 之后第二个官方支持 Alinux 2/3 的国际安全社区。OpenSCAP 官方支持 Alinux 2/3 后,Alinux 2/3 CIS 相关的安全基线也能够贡献到 OpenSCAP 社区,从而进一步提高 Anolis / Alinux 的安全合规能力,为未来更好地服务 Alinux 以及 龙蜥操作系统(Anolis OS )的用户打下坚实的基础。

OpenSCAP 扫描实践

在编译与安装 openSCAP 及 SSG 后,我们即可对其进行测试。本节以 Alibaba Cloud Linux 2 CIS 策略的扫描为例给出部分的结果。

# 进入安装目录(以`/usr/local/share/xml/scap/ssg/content`为例)
cd /usr/local/share/xml/scap/ssg/content
# 选择Alibaba Cloud Linux 2 CIS profile
oscap xccdf eval --profile "xccdf_org.ssgproject.content_profile_cis" --results-arf results.xml --report report.html ssg-alinux2-ds.xml

打开对应的检测结果文件report.html, 如下图所示,可以看到对应的检测结果(passed、failed 等),也可以进一步展开查看具体某一安全策略的核查结果以及检查日志等。

总结与展望

未来我们还会继续加强龙蜥社区与 OpenSCAP 安全社区的合作,在 OpenSCAP 社区原生支持龙蜥操作系统(Anolis OS)以及更多的龙蜥社区下游发行版 OS 及其对应的安全策略。同时围绕 OpenSCAP 的其它组件(比如 library 和 CLI 命令行工具等)进一步深入合作与积极贡献,使得龙蜥社区的安全生态更加繁荣。

相关链接:

OpenSCAP 地址链接:https://github.com/OpenSCAP/o...

SCAP Security Guide(SSG):https://github.com/Compliance...

—— 完 ——


龙蜥社区
40 声望12 粉丝

OpenAnolis龙蜥社区由国内外头部企业联合建立的操作系统开源社区。