SUSE Manager et openSCAP : 200 règles de sécurité pour vous

OpenSCAP est un outil de test de politique securité opensource.
Saviez vous que SUSE fournissait plus de 200 règles de sécurité via son SCAP Security Guide ?

En plus du guide de durcissement de SLES, il existe plusieurs labels de recommandations : STIG DISA, CIS, ANSSI, …
SUSE publie un fichier contenant plus de 200 règles correspondant à ces labels sur son site.

Téléchargement du fichier sur le SUSE MANAGER

mkdir -p /srv/salt/ssg-sles/
cd /srv/salt/ssg-sles/
wget ftp://ftp.suse.com/pub/projects/security/STIG/SLES_12_SCAP_BETA/ssg-sle12-ds.xml

Création d’un Configuration Channel avec Salt

Dans SUMA allez dans Configuration > Configuration Channels > + Create State Channel

Name: Openscap Commons
Label: openscap-commons
Description: Openscap RPMs pour SLES et RH/Centos

SLS Contents:

openscap_packages:
 file.managed:
 - name: /usr/local/share/ssg-sle12-ds.xml
 - source: salt://ssg-sles/ssg-sle12-ds.xml
 - makedirs: true
 - user: root
 - group: root
 - mode: '0644'
 pkg.installed:
 - pkgs:
 - openscap
 - openscap-utils
 - spacewalk-oscap
 {% if grains['os_family'] == 'Suse' %}
 - openscap-content
 {% endif %}
 {% if grains['os_family'] == 'RedHat' %}
 - scap-security-guide
 {% endif %}

Puis cliquez sur Create Config Channel

Ajouter les systemes au configuration channel

Dans Configuration > Overview cliquer sur Openscap Commons
Dans Systems > Target Systems sélectionner les systèmes qui doivent recevoir les RPMs et le fichier de règle

Puis cliquez sur Subscribe systems

Lancer un Audit openSCAP

Allez dans Audit > Schedule

Pour SLES :

Command-line Arguments: –profile xccdf_org.ssgproject.content_profile_stig-sle12-disa
File System Path: /usr/local/share/ssg-sle12-ds.xml

Pour RHEL ou CentOS

Command-line Arguments: –profile xccdf_org.ssgproject.content_profile_standard
File System Path: /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

Allez dans Audit > List Scans, Cliquer sur un scan pour avoir le detail.