ตรวจสอบช่องโหว่ระบบปฏิบัติการด้วย OpenSCAP

     OpenSCAP คือเครื่องมือที่ช่วยในทำ VA Scan เพื่อช่วยตรวจสอบการตั้งค่าด้านความปลอดภัยว่าสมบูรณ์หรือไม่และตรวจสอบช่วงโหว่ของ Service หากพบจากฐานข้อมูลของตัวเครื่องมือและที่สำคัญเป็น Opensource โดย OpenSCAP จะทำงานอาจจะใช้ฐานข้อมูลจาก OVAL (Open Vulnerability and Assessment Language) จากการดาวน์โหลดหรือที่ติดมากับตัวซอฟแวร์ก็ได้

การใช้งานโดยพิมพ์คำสั่ง

oscap [option] --profile [ชื่อ Profile] --results [ชื่อไฟล์ Result.xml] --report [ชื่อ Report.html] [Database Profile ที่ใช้งาน]

การค้นหาฐานข้อมูลที่ใช้ตรวจสอบ

1.ใช้ฐานข้อมูลที่มากับตัวโปนแกรมได้โดยใช้คำสั่งค้นหา

oscap info /usr/share/xml/scap/ssg/content/xxx.xml | grep "Title:" โดย xxx.xml เป็นชื่อไฟล์ของระบบปฏิบัติการที่จะทำการตรวจสอบ เช่น redhat 8 จะชื่อ ssg-rhel8-oval.xml

2.ใช้ฐานข้อมูลจากจากดาวน์โหลดของแต่ละระบบปฏิบัติการ เช่น ubuntu ดูได้จาก https://ubuntu.com/security/oval

วิธีการแสกน

oscap xccdf eval –rus_cis_test --results results.xml --report resultsreport.html /usr/share/xml/scap/ssg/content/xxx.xml

เมื่อเสร็จแล้วจะได้ report ชื่อ resultsreport.html นำไปเปิดบนเว็บเบราเซอร์

ตัวอย่างการแสกนเครื่อง Ubuntu 22.04

1.ติดตั้ง ไลบารี่และซอฟแวร์

          sudo apt install libopenscap8 openscap-scanner bzip2

2.ดาวน์โหลด ฐานข้อมูล OVAL ของ Ubuntu และคลายซิปไฟล์

          wget https://security-metadata.canonical.com/oval/com.ubuntu.$(lsb_release-cs).usn.oval.xml.bz2

          bunzip2 com.ubuntu.$(lsb_release -cs).usn.oval.xml.bz2

3.ใช้คำสั่งแสกนโดยใช้ฐานข้อมูลที่ดาวน์โหลดมา

          oscap oval eval --report report.html com.ubuntu.$(lsb_release -cs).usn.oval.xml

4.นำ report ที่ได้ไปเปิดบนเว็บเบราเซอร์

สีเขียวคือการอัพเดทแพทช์แล้ว

สีส้มคือ ไม่ได้อัพเดทหรืออาจจะต้องซื้อเวอร์ชัน Pro จึงจะสามารถอัพแพทช์ได้

5.หากผลการตรวจสอบยังมีช่องโหว่ให้ทำการอัพเดทแพทช์ให้เป็นปัจจุบันโดยใช้คำสั่งและรีบูต

       sudo apt dist-upgrade