原创 厦门微思网络

安装（RHEL 7,8,9）

从软件包仓库安装（YUM）

yum install scap-workbench

获取执行扫描相关的文件

即使在我们启动SCAP Workbench之前，我们也需要找到供我们用来执行扫描任务的配置, 报告, 修复脚本等文件。目前最好的选择可能是 scap-security-guide

scap-security-guide 可能已经作为 scap-workbench 的依赖项安装在您的系统上了。如果没有安装，请安装它：

从软件包仓库安装（YUM）

yum install scap-security-guide

启动 SCAP Workbench

安装完成后，在您的桌面环境的应用程序菜单中应该会出现一个新的 SCAP Workbench 应用程序条目。

图 1. SCAP Workbench 应用 (GNOME 3)

如果找不到 SCAP Workbench 的应用程序图标/条目，请按下 Alt+F2 打开运行命令对话框（在 GNOME 3 和 KDE 4 中有效），输入 scap-workbench 并确认。

SCAP Workbench 应该会启动，并且如果您从软件包仓库安装了 scap-security-guide，工作台会立即打开一个对话框，让您选择要打开的 SSG（SCAP Security Guide）发行版。

图 2. SSG 集成对话框

为了方便后续指南的说明，我们假设您选择了 Fedora。其他发行版的所有指令都是类似的。

图3. Workbench中的Fedora SSG 内容

选择Profile配置文件

每当讨论这个特殊的配置文件时，我们会使用 (default)（带括号）来避免混淆。相比之下，“默认配置文件”指的是默认选择的配置文件。

所有 SCAP 内容至少包含一个配置文件——(default) 配置文件，这是一个空配置文件，不会改变任何规则的选择，也不会影响传递给任何检查的值。只有那些具有 selection 属性等于 "true" 的规则，以及它们的所有祖先 xccdf:Group 的 selection 属性同样为 "true" 的规则才会在 (default) 配置文件中被评估。

这取决于内容本身，但 (default) 配置文件不太可能是你想要的选择。SCAP Workbench 只会在没有其他配置文件的情况下隐式地选择它。第一个非 (default) 的配置文件将被选择。

使用配置文件下拉框来更改将用于后续评估的配置文件。当 SCAP Workbench 不在评估时，它会预览当前配置文件中选定的规则。每次你定制配置文件或选择不同的配置文件时，这个列表都会刷新。

选择目标服务器

SCAP Workbench 默认会扫描本地机器。但是，你也可以使用 SSH 扫描远程机器。

要扫描远程机器，请在目标下拉框中选择“远程机器（通过 SSH）”。将出现一对输入框。输入所需的用户名和主机名，并选择端口。用户名和主机名应按照 SSH 常见接受的格式放在第一个编辑框中，即 username@hostname。确保目标机器可达，所选用户可以通过 SSH 登录，并且有足够的权限来评估机器。

目标机器必须安装有 oscap 工具，版本为 0.8.0 或更高版本，并且必须位于 $PATH 中！

你可以通过在目标机器上安装 openscap-scanner 来实现这一点。如果 openscap-scanner 不可用，则可以安装 openscap-utils 代替。(注: ubuntu中对应工具为libopenscap8)

只有源数据流 (Source DataStream) 可用于扫描远程机器。纯 XCCDF 文件尚不支持！

图4. 选择需要扫描的远程主机

评估

一切就绪后，我们现在可以开始评估。点击“扫描”按钮以继续。如果你选择了远程机器作为目标，此时 SSH 可能会要求你输入密码。

SCAP Workbench 从不以任何形式处理你的 SSH 密码。相反，会启动一个 ssh 进程，该进程自身启动 ssh-askpass 程序来询问密码。

如果你选择了扫描本地机器，SCAP Workbench 将显示一个对话框，允许你以超级用户权限认证并扫描机器。如果你想使用当前权限进行扫描，可以点击“Cancel”。

如果 pkexec 不可用或没有运行任何 policykit 代理，权限提升对话框将不会显示，SCAP Workbench 将使用你的当前权限进行扫描。如果你需要超级用户权限，可以使用 sudo 或以 root 用户身份启动 SCAP Workbench。

sudo scap-workbench

应用程序现在启动 oscap 工具并等待其完成，沿途在规则结果列表中报告部分结果。请注意，工具无法预测处理任何特定规则所需的时间。仅使用已处理的规则数量和剩余的规则数量来估计进度。请耐心等待 oscap 完成评估。

你可以随时点击“Cancel”按钮来取消扫描。取消扫描只会给你带来部分结果列表中的部分结果，你将无法获得 HTML 报告、XCCDF 结果或 ARF 文件！

点击“SCAN”按钮后，所有之前的选项将被禁用并灰显。直到你点击“清除”按钮清空所有结果之前，你不能更改它们。

查看和分析结果

评估完成后，你应该会看到三个新的按钮：“Clear”、“Save Results”、“Generate remediation role”和“Show Report”。

点击“Clear”将永久销毁扫描结果！此操作无法撤销。

点击“Show Report”将在你的网络浏览器中打开评估的 HTML 报告。

SCAP Workbench 将在你桌面环境中设置的默认网络浏览器中打开报告。请确保你已安装了浏览器。

如果点击按钮后没有任何反应，请检查哪个浏览器是默认的。在 GNOME 3 中，查看“系统设置”→“系统信息”→“默认应用”；在 KDE 4 中，查看“系统设置”→“默认应用”。

如果你仍然无法让 SCAP Workbench 打开浏览器，可以将报告保存为硬盘上的 HTML 文件并手动打开。

你的评估结果可以保存为以下几种格式：

· HTML 报告

o 人类可读且方便，不适合机器处理。可以在任何 Web 浏览器中查看。

· XCCDF 结果

o 机器可读文件，仅包含结果，不适合手动处理。需要能够解析该格式的特殊工具。

· ARF

o 也称为结果数据流。将输入内容、资产信息和结果打包到一个机器可读文件中，不适合手动处理。需要能够解析该格式的特殊工具。

如果你不确定存档结果时应选择哪种格式，XCCDF 结果通常是受支持的，并且可以使用 oscap 工具从 XCCDF 结果生成 HTML 报告。

ARF 文件是唯一包含评估生成的所有内容的格式。除了 XCCDF 结果外，它还包含 OVAL 结果、SCE 结果（如果有的话）以及资产识别数据。如果你想保留所有生成的数据，存档时选择 ARF 格式。

然而，ARF 文件不像 XCCDF 结果文件那样得到 SCAP 工具链的广泛支持。可以从 ARF 文件生成 XCCDF 结果文件，这个操作被称为 ARF 分割。

点击“Generate remediation role”弹出菜单可以让你将基于结果的补救措施保存到文件中。输出文件将包含所有可用于失败扫描规则的补救措施，因此它应该比基于配置文件的补救措施更适合你的需求。由于保存的内容基于实际的扫描结果，因此被称为基于结果的补救角色。

红帽Linux相关文章：

Linux基础知识之用户和组

Linux基础知识之使用 Shell 扩展匹配文件名

Linux基础知识之管理用户密码

Linux基础知识之Shell命令行及终端中的快捷键

— 年度热文 —

新生代网工必看：华为模拟器eNSP安装教程（附下载链接）

【超详细】思科模拟器EVE的安装与使用，附下载链接

一款功能齐全的网管软件：Ip-tools

收藏！超详细的Oracle 19c安装步骤！

超强linux学习笔记，值得一看(附PDF下载)

K8S认证工程师（CKA）备考与学习指南

《鸟哥Linux私房菜》全新完整中文版PDF