龍蜥下游發行版 Alinux 和 UOS 成為 OpenSCAP 官方首批支援的國內 OS

OpenAnolis小助手 發表於 2022-07-13
Linux

龍蜥下游發行版 Alinux 和 UOS 成為 OpenSCAP 官方首批支援的國內 OS

背景

近日,龍蜥作業系統(Anolis OS)下游發行版 Alibaba Cloud Linux 2/3(以下簡稱Alinux 2/3)以及統信軟體 UnionTech OS Server v20(以下簡稱 UOS v20)先後完成與國際知名安全社群 OpenSCAP 的產品支援整合,併成為 OpenSCAP 官方首批支援的國內 OS 產品。

SCAP(Security Content Automation Protocol,安全內容自動化協議)是由 NIST(National Institute of Standards and Technology,美國國家標準與技術研究院)維護的一套標準,用於規範軟體產品的安全基線核查與脆弱性評估,是當前國際上比較成熟的一套資訊保安評估標準體系,其標準化、自動化的思想對資訊保安行業產生了深遠的影響。

OpenSCAP 專案是用於實施和執行 SCAP 標準的開源工具集合,並於 2014 年獲得 NIST 頒發的 SCAP 1.2 認證。調研發現,OpenSCAP 不僅在 CentOS、Debian 和 Ubuntu 等眾多知名 OS 發行版中被廣泛內建,也被 Wazuh 等安全產品直接整合。OpenSCAP 開源專案包含一系列的工具和大量的安全策略:

  • SCAP Workbench:一個 GUI 的互動介面;

  • OpenSCAP:library 和 CLI 命令列工具(oscap 等);

  • SCAP Security Guide(SSG):SCAP 安全指南;

  • Script Check Engine(SCE):指令碼檢查引擎(可選)。

其中 SSG 包括針對大量 OS 發行版及軟體產品的安全掃描策略,是 OpenSCAP 進行安全合規基線檢查、修復及脆弱性評估的重要依據。

Alinux 與 UOS 在 OpenSCAP 的整合

龍蜥社群生態夥伴結合下游 OS 發行版產品(Alinux 2/3、UOS v20),通過 OS 產品支援整合,安全策略對接,近日先後完成在 OpenSCAP 專案上的官方整合,成為 OpenSCAP 標準支援的國內 OS 發行版。

Alinux 與 UOS 完成 OpenSCAP 的整合具有以下意義:

  1. 如下圖所示,Alinux 2/3 與 UOS v20 成為 OpenSCAP 官方支援的首批國內 OS,能夠使用 OpenSCAP 標準的安全策略掃描 Alinux 2/3 以及 UOS v20;

龍蜥下游發行版 Alinux 和 UOS 成為 OpenSCAP 官方首批支援的國內 OS

  1. Alinux 的 CIS 安全策略得到了 OpenSCAP 的認可與整合,使用者可以直接使用 OpenSCAP 的產品掃描與檢測 Alinux 環境是否滿足 CIS 標準要求等;

  2. OpenSCAP 產品除標準策略、CIS 策略外,還支援大量其它合規要求的標準策略,如 HIPAA、PCI-DSS 等,未來這些安全策略也能夠應用於 Alinux 2/3 以及 UOS v20 等環境,用來核查與調整系統配置,以滿足不同場景下的安全合規需求;

  3. OpenSCAP 是大量 Linux 發行版內建的知名安全工具,Alinux 與 UOS 完成與 OpenSCAP 的整合後,也能夠作為標準安全工具集,更好地服務於 Alinux 2/3 與 UOS v20 發行版的使用者。

此外,圍繞龍蜥社群與下游發行版的安全生態,以 Alinux 為例,這是繼 CIS 之後第二個官方支援 Alinux 2/3 的國際安全社群。OpenSCAP 官方支援 Alinux 2/3 後,Alinux 2/3 CIS 相關的安全基線也能夠貢獻到 OpenSCAP 社群,從而進一步提高 Anolis / Alinux 的安全合規能力,為未來更好地服務 Alinux 以及 龍蜥作業系統(Anolis OS )的使用者打下堅實的基礎。

OpenSCAP 掃描實踐

在編譯與安裝 openSCAP 及 SSG 後,我們即可對其進行測試。本節以 Alibaba Cloud Linux 2 CIS 策略的掃描為例給出部分的結果。

# 進入安裝目錄(以`/usr/local/share/xml/scap/ssg/content`為例)
cd /usr/local/share/xml/scap/ssg/content
# 選擇Alibaba Cloud Linux 2 CIS profile
oscap xccdf eval --profile "xccdf_org.ssgproject.content_profile_cis" --results-arf results.xml --report report.html ssg-alinux2-ds.xml

開啟對應的檢測結果檔案report.html, 如下圖所示,可以看到對應的檢測結果(passed、failed 等),也可以進一步展開檢視具體某一安全策略的核查結果以及檢查日誌等。

龍蜥下游發行版 Alinux 和 UOS 成為 OpenSCAP 官方首批支援的國內 OS

總結與展望

未來我們還會繼續加強龍蜥社群與 OpenSCAP 安全社群的合作,在 OpenSCAP 社群原生支援龍蜥作業系統(Anolis OS)以及更多的龍蜥社群下游發行版 OS 及其對應的安全策略。同時圍繞 OpenSCAP 的其它元件(比如 library 和 CLI 命令列工具等)進一步深入合作與積極貢獻,使得龍蜥社群的安全生態更加繁榮。

相關連結可移步龍蜥公眾號(OpenAnolis龍蜥)2022年7月12日相同推送檢視。

—— 完 ——


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70004278/viewspace-2905547/,如需轉載,請註明出處,否則將追究法律責任。