監査

SUSE Multi-Linux Managerでは、一連の監査タスクを通じてクライアントを追跡できます。 クライアントがすべてのパブリックセキュリティパッチ(CVE)を適用して最新の状態になっていることを確認し、サブスクリプションマッチングを実行して、OpenSCAPを使用して仕様のコンプライアンスを確認できます。

In the SUSE Multi-Linux Manager Web UI, navigate to Audit to perform auditing tasks.

1. CVE audits

CVE (共通脆弱性識別子)は、一般に知られているセキュリティの脆弱性に対する修正です。

CVEが利用可能になったらすぐにクライアントに適用する必要があります。

Each CVE contains an identification number, a description of the vulnerability, and links to further information. CVE identification numbers use the form CVE-YEAR-XXXX.

SUSE Multi-Linux Manager Web UIで、監査  CVE監査に移動して、すべてのクライアントとその現在のパッチステータスのリストを表示します。

デフォルトでは、パッチデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新のパッチが適用されていることを確認することをお勧めします。

Procedure: Updating patch data
  1. In the SUSE Multi-Linux Manager Web UI, navigate to Admin  Task Schedules and select the cve-server-channels-default schedule.

  2. cve-server-channels-bunchをクリックします。

  3. 一回のみの実行スケジュールをクリックして、タスクをスケジュールします。 CVE監査を続行する前に、タスクを完了させてください。

Procedure: Verifying patch status
  1. SUSE Multi-Linux Manager Web UIで、監査  CVE監査に移動します。

  2. To check the patch status for a particular CVE, type the CVE identifier in the CVE Number field.

  3. 検索するパッチステータスを選択するか、すべてのステータスをオンのままにしてすべてを検索します。

  4. 監査サーバをクリックしてすべてのシステムを確認するか、監査イメージをクリックしてすべてのイメージを確認します。

このページで使用されるパッチステータスアイコンの詳細については、CVE 監査を参照してください。

For each system, the Actions column provides information about what you need to do to address vulnerabilities. If applicable, a list of candidate channels or patches is also given. You can also assign systems to a System Set for further batch processing.

You can use the SUSE Multi-Linux Manager API to verify the patch status of your clients. Use the audit.listSystemsByPatchStatus API method. For more information about this method, see the SUSE Multi-Linux Manager API Guide.

2. OVAL

CVE監査操作は、チャンネルとOVAL (Open Vulnerability and Assessment Language)という2つの主要なデータソースに依存しています。 これらの2つのソースは、CVE監査を実施するためのメタデータを提供し、それぞれが異なる目的を果たします。

チャンネル

チャンネルには、パッチを含む更新されたソフトウェアパッケージが含まれており、脆弱性に対処するために必要な重要なパッチに関する洞察を提供します。

OVAL

対照的に、OVALデータは、脆弱性そのものに関する情報、およびシステムをCVEに対して脆弱にするパッケージに関する情報を提供します。

CVE監査はチャンネルデータのみを使用して実施できますが、OVALデータを同期させることで、特に、ゼロデイ脆弱性や部分的にパッチが適用された脆弱性に関連するケースで、結果の精度が向上します。

OVALデータはチャンネルデータよりもはるかに軽量です。 たとえば、openSUSE Leap 15.4のOVALデータは約50MB です。

OVALデータを同期しただけで、すでに CVE 監査を実施し、システムがCVEに対して脆弱かどうかを確認できます。ただし、パッチはチャンネルから取得されるため、パッチを適用することはできません。

OVAL機能の主な特徴は次のとおりです。

  • Enabled by default: The feature is enabled by default and requires no additional configuration.

  • Reversible: If needed, users can disable OVAL data and revert to the standard channel-based CVE audit. See Disabling OVAL Data Support below.

  • デフォルトでは、OVALデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新の脆弱性メタデータが適用されていることを確認することをお勧めします。

The following procedures can be used to enable, disable, or update OVAL data.

Procedure: Enabling OVAL data support
  1. Add or modify the following setting in file /etc/rhn/rhn.conf in the container:

    java.cve_audit.enable_oval_metadata=true
  2. TomcatおよびTaskomaticサービスを再起動します。

    systemctl restart tomcat taskomatic

Alternatively, use the procedure for disabling OVAL data support.

Procedure: Disabling OVAL data support
  1. Add or modify the following setting in rhn.conf:

    java.cve_audit.enable_oval_metadata=false
  2. TomcatおよびTaskomaticサービスを再起動します。

    systemctl restart tomcat taskomatic
Procedure: Updating OVAL data
  1. In the SUSE Multi-Linux Manager Web UI, navigate to Admin  Task Schedules and select the oval-data-sync-default schedule.

  2. oval-data-sync-bunchをクリックします。

  3. 1 回のみの実行スケジュールをクリックして、タスクをスケジュールします。

CVE監査を続行する前に、タスクを完了させてください。

2.1. CPEの収集

To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a Salt grain, then we save it to the database.

The CPE of newly registered clients will be automatically collected and saved to the database. However, for existing clients, it is necessary to execute the Update Packages List action at least once.

Procedure: Update packages list
  1. SUSE Multi-Linux Manager Web UIで、システム  システム一覧  すべてに移動して、クライアントを選択します。

  2. Then go to the Software tab and select the Packages sub-tab.

  3. Update Packages List(パッケージリストの更新)をクリックして、クライアントのCPEを収集します。

2.2. OVALソース

OVALデータの完全性と最新性を確保するため、SUSE Multi-Linux Managerは、すべての製品の公式メンテナーから提供されるOVALデータを排他的に使用します。以下に、OVALデータソースのリストを示します。

Table 1. OVALソース
Product Source URL OVAL supported versions in SUSE Multi-Linux Manager

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Server 16
SUSE Linux Enterprise Server 15
SUSE Linux Enterprise Server 12

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Desktop 15

SUSE Linux Enterprise Micro

SUSE Linux Enterprise Micro 5.5
SUSE Linux Enterprise Micro 5.4
SUSE Linux Enterprise Micro 5.3
SUSE Linux Enterprise Micro 5.2

SUSE Linux Micro

SUSE Linux Micro 6.2
SUSE Linux Micro 6.1
SUSE Linux Micro 6.0

SUSE Liberty Linux

SUSE Liberty Linux 10
SUSE Liberty Linux 9
SUSE Liberty Linux 8
SUSE Liberty Linux 7

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

RedHat Enterprise Linux 9
RedHat Enterprise Linux 8
RedHat Enterprise Linux 7

Debian

https://www.debian.org/security/oval

Debian 13
Raspberry Pi OS

Ubuntu

https://security-metadata.canonical.com/oval

Ubuntu 24.04
Ubuntu 22.04

AlmaLinux

https://security.almalinux.org/oval

AlmaLinux 10
AlmaLinux 9
AlmaLinux 8

Oracle Linux

https://linux.oracle.com/security/oval/

Oracle Linux 10
Oracle Linux 9
Oracle Linux 8
Oracle Linux 7

OVALメタデータは、CVE監査でクライアントのサブセット、すなわち、openSUSE Leap、SUSEエンタープライズ製品、RHEL、Debian、またはUbuntuを使用するクライアントのみに使用されます。これは、他の製品にはOVAL脆弱性定義メタデータが存在しないためです。

3. CVEステータス

The CVE status of clients is usually either affected, not affected, or patched. These statuses are based only on the information that is available to SUSE Multi-Linux Manager.

SUSE Multi-Linux Manager内で、次の定義が適用されます。

特定の脆弱性の影響を受けるシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョンより前のバージョンのパッケージがインストールされているシステム。

特定の脆弱性の影響を受けないシステム

脆弱性がマークされた関連パッチにも含まれているパッケージがインストールされていないシステム。

特定の脆弱性に対するパッチが適用されたシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョン以上のバージョンのパッケージがインストールされているシステム。

関連パッチ

関連するチャンネルでSUSE Multi-Linux Managerによって知られているパッチ。

関連するチャンネル

システムに割り当てられたSUSE Multi-Linux Managerによって管理されるチャンネル、システムに割り当てられたクローンチャンネルのオリジナルチャンネル、システムにインストールされている製品にリンクされたチャンネル、またはシステムの過去または将来のサービスパックチャンネル。

SUSE Multi-Linux Manager内で使用されている定義のため、状況によってはCVE監査結果が正しくない場合があります。 たとえば、管理されていないチャンネル、管理されていないパッケージ、または準拠していないシステムが誤って報告される可能性があります。