Использование OpenSCAP - ESGuardian/LittleBeat WikiПо умолчанию агент Wazuh выполняет некоторые проверки конфигурации машины, и сообщает о несоответствии рекомендациям CIS или требованиям PCI DSS, но если вы хотите чего-нибудь еще, вы можете использовать OpenSCAP.
SCAP предоставляет набор стандартов, определяющий критерии для оценки безопасности инфраструктуры Linux. Разработан институтом NIST (National Institute of Standards and Technology). OpenSCAP - это сканер, который проверяет локальную систему на соответствие этим стандартам. Имеется во всех версиях Linux и может быть установлен из стандартных репозиториев. Wazuh агент устанавливаемый из пакета уже содержит в конфигурационном файле настройки обработки отчетов OpenSCAP для соответствующей операционной системы. Но по умолчанию эта обработка отключена. Как включить?
Для начала установите на хосте OpenSCAP (на том хосте, где установлен агент). Для Ubuntu и Debian так:
sudo apt-get install libopenscap8 xsltprocДля RHEL, CentOS, Fedora:
sudo yum install openscap-scanner
Теперь надо поправить конфигурацию агента:
sudo nano /var/ossec/etc/ossec.conf
Найдите секцию:
yes
1800
1d
yes
xccdf_org.ssgproject.content_profile_common
Это не далеко от начала файла. Исправьте
yes на
no. Сохраните файл и выполните команду:
sudo /var/ossec/bin/ossec-control restart
Инструкция
@linuxkalii