監査

SUSE Multi-Linux Managerでは、一連の監査タスクを通じてクライアントを追跡できます。 クライアントがすべてのパブリックセキュリティパッチ(CVE)を適用して最新の状態になっていることを確認し、サブスクリプションマッチングを実行して、OpenSCAPを使用して仕様のコンプライアンスを確認できます。

SUSE Multi-Linux Manager Web UIで、[監査]に移動して、監査タスクを実行します。

1. CVE audits

CVE (共通脆弱性識別子)は、一般に知られているセキュリティの脆弱性に対する修正です。

CVEが利用可能になったらすぐにクライアントに適用する必要があります。

各CVEには、識別番号、脆弱性の説明、および詳細情報へのリンクが含まれています。 CVE識別番号は、CVE-YEAR-XXXXの形式を使用します。

SUSE Multi-Linux Manager Web UIで、監査  CVE監査に移動して、すべてのクライアントとその現在のパッチステータスのリストを表示します。

デフォルトでは、パッチデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新のパッチが適用されていることを確認することをお勧めします。

Procedure: Updating patch data

  1. SUSE Multi-Linux Manager Web UIで、管理  タスクスケジュールに移動し、cve-server-channels-defaultスケジュールを選択します。

  2. cve-server-channels-bunchをクリックします。

  3. 一回のみの実行スケジュールをクリックして、タスクをスケジュールします。 CVE監査を続行する前に、タスクを完了させてください。

Procedure: Verifying patch status

  1. SUSE Multi-Linux Manager Web UIで、監査  CVE監査に移動します。

  2. 特定のCVEのパッチステータスを確認するには、[CVE番号]フィールドにCVE IDを入力します。

  3. 検索するパッチステータスを選択するか、すべてのステータスをオンのままにしてすべてを検索します。

  4. 監査サーバをクリックしてすべてのシステムを確認するか、監査イメージをクリックしてすべてのイメージを確認します。

このページで使用されるパッチステータスアイコンの詳細については、CVE 監査を参照してください。

各システムについて、[アクション]列には、脆弱性に対処するために実行する必要がある情報が表示されます。 該当する場合は、候補チャンネルまたはパッチのリストも表示されます。 さらにバッチ処理を行うためにシステムを[システムセット]に割り当てることもできます。

SUSE Multi-Linux Manager APIを使用して、クライアントのパッチステータスを確認できます。 audit.listSystemsByPatchStatus APIメソッドを使用します。 このメソッドの詳細については、『SUSE Multi-Linux Manager API ガイド』を参照してください。

2. OVAL

CVE監査操作は、チャンネルとOVAL (Open Vulnerability and Assessment Language)という2つの主要なデータソースに依存しています。 これらの2つのソースは、CVE監査を実施するためのメタデータを提供し、それぞれが異なる目的を果たします。

チャンネル

チャンネルには、パッチを含む更新されたソフトウェアパッケージが含まれており、脆弱性に対処するために必要な重要なパッチに関する洞察を提供します。

OVAL

対照的に、OVALデータは、脆弱性そのものに関する情報、およびシステムをCVEに対して脆弱にするパッケージに関する情報を提供します。

CVE監査はチャンネルデータのみを使用して実施できますが、OVALデータを同期させることで、特に、ゼロデイ脆弱性や部分的にパッチが適用された脆弱性に関連するケースで、結果の精度が向上します。

OVALデータはチャンネルデータよりもはるかに軽量です。 たとえば、openSUSE Leap 15.4のOVALデータは約50MB です。

OVALデータを同期しただけで、すでに CVE 監査を実施し、システムがCVEに対して脆弱かどうかを確認できます。ただし、パッチはチャンネルから取得されるため、パッチを適用することはできません。

OVAL機能の主な特徴は次のとおりです。

  • Enabled by default: The feature is enabled by default and requires no additional configuration.

  • Reversible: If needed, users can disable OVAL data and revert to the standard channel-based CVE audit. See Disabling OVAL Data Support below.

  • デフォルトでは、OVALデータは毎日23:00に更新されます。 CVE監査を開始する前に、データを更新して最新の脆弱性メタデータが適用されていることを確認することをお勧めします。

The following procedures can be used to enable, disable, or update OVAL data.

Procedure: Enabling OVAL data support

  1. コンテナ内のファイル/etc/rhn/rhn.confで次の設定を追加または編集します。

    java.cve_audit.enable_oval_metadata=true

  2. TomcatおよびTaskomaticサービスを再起動します。

    systemctl restart tomcat taskomatic

Alternatively, use the procedure for disabling OVAL data support.

Procedure: Disabling OVAL data support

  1. rhn.confに次の設定を追加または編集します。

    java.cve_audit.enable_oval_metadata=false

  2. TomcatおよびTaskomaticサービスを再起動します。

    systemctl restart tomcat taskomatic
Procedure: Updating OVAL data

  1. SUSE Multi-Linux Manager Web UIで、管理  タスクスケジュールに移動し、oval-data-sync-defaultスケジュールを選択します。

  2. oval-data-sync-bunchをクリックします。

  3. 1 回のみの実行スケジュールをクリックして、タスクをスケジュールします。

CVE監査を続行する前に、タスクを完了させてください。

2.1. CPEの収集

To be able to accurately identify what vulnerabilities apply to a certain client, we need to identify the operating system product that client uses. To do that, we collect the CPE (Common Platform Enumeration) of the client as a Salt grain, then we save it to the database.

新規登録されたクライアントのCPEは、自動的に収集され、データベースに保存されます。 ただし、既存のクライアントについては、少なくとも1回パッケージリストの更新アクションを実行する必要があります。

Procedure: Update packages list

  1. SUSE Multi-Linux Manager Web UIで、システム  システム一覧  すべてに移動して、クライアントを選択します。

  2. ソフトウェア]タブに移動し、[パッケージ]サブタブを選択します。

  3. Update Packages List(パッケージリストの更新)をクリックして、クライアントのCPEを収集します。

2.2. OVALソース

OVALデータの完全性と最新性を確保するため、SUSE Multi-Linux Managerは、すべての製品の公式メンテナーから提供されるOVALデータを排他的に使用します。以下に、OVALデータソースのリストを示します。

Table 1. OVALソース
Product Source URL OVAL supported versions in SUSE Multi-Linux Manager

openSUSE Leap

https://ftp.suse.com/pub/projects/security/oval

openSUSE Leap Micro

SUSE Linux Enterprise Server

SUSE Linux Enterprise Server 16
SUSE Linux Enterprise Server 15
SUSE Linux Enterprise Server 12

SUSE Linux Enterprise Desktop

SUSE Linux Enterprise Desktop 15

SUSE Linux Enterprise Micro

SUSE Linux Enterprise Micro 5.5
SUSE Linux Enterprise Micro 5.4
SUSE Linux Enterprise Micro 5.3
SUSE Linux Enterprise Micro 5.2

SUSE Linux Micro

SUSE Linux Micro 6.2
SUSE Linux Micro 6.1
SUSE Linux Micro 6.0

SUSE Liberty Linux

SUSE Liberty Linux 10
SUSE Liberty Linux 9
SUSE Liberty Linux 8
SUSE Liberty Linux 7

RedHat Enterprise Linux

https://www.redhat.com/security/data/oval/v2

RedHat Enterprise Linux 9
RedHat Enterprise Linux 8
RedHat Enterprise Linux 7

Debian

https://www.debian.org/security/oval

Debian 13
Raspberry Pi OS

Ubuntu

https://security-metadata.canonical.com/oval

Ubuntu 24.04
Ubuntu 22.04

AlmaLinux

https://security.almalinux.org/oval

AlmaLinux 10
AlmaLinux 9
AlmaLinux 8

Oracle Linux

https://linux.oracle.com/security/oval/

OVALメタデータは、CVE監査でクライアントのサブセット、すなわち、openSUSE Leap、SUSEエンタープライズ製品、RHEL、Debian、またはUbuntuを使用するクライアントのみに使用されます。これは、他の製品にはOVAL脆弱性定義メタデータが存在しないためです。

3. CVEステータス

クライアントのCVEステータスは通常、影響を受けています影響を受けません、またはパッチ適用済みのいずれかです。 これらのステータスは、SUSE Multi-Linux Managerで使用できる情報にのみ基づいています。

SUSE Multi-Linux Manager内で、次の定義が適用されます。

特定の脆弱性の影響を受けるシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョンより前のバージョンのパッケージがインストールされているシステム。

特定の脆弱性の影響を受けないシステム

脆弱性がマークされた関連パッチにも含まれているパッケージがインストールされていないシステム。

特定の脆弱性に対するパッチが適用されたシステム

脆弱性がマークされた関連パッチ内の同じパッケージのバージョン以上のバージョンのパッケージがインストールされているシステム。

関連パッチ

関連するチャンネルでSUSE Multi-Linux Managerによって知られているパッチ。

関連するチャンネル

システムに割り当てられたSUSE Multi-Linux Managerによって管理されるチャンネル、システムに割り当てられたクローンチャンネルのオリジナルチャンネル、システムにインストールされている製品にリンクされたチャンネル、またはシステムの過去または将来のサービスパックチャンネル。

SUSE Multi-Linux Manager内で使用されている定義のため、状況によってはCVE監査結果が正しくない場合があります。 たとえば、管理されていないチャンネル、管理されていないパッケージ、または準拠していないシステムが誤って報告される可能性があります。