Почему oscap утверждает “неприменимо” для так многих тестов на Ubuntu 22?

Вопрос или проблема

oscap xccdf eval --profile xccdf_org.ssgproject.content_profile_stig --report /tmp/stig.html /tmp/scap-security-guide-0.1.75/ssg-ubuntu2204-ds.xml

# grep -w action_mail_acct /etc/audit/auditd.conf
action_mail_acct = root
#

Title^M Настройка действия mail_acct auditd при недостаточном дисковом пространстве
Rule^M  xccdf_org.ssgproject.content_rule_auditd_data_retention_action_mail_acct
I: oscap: Оценка определения 'oval:ssg-installed_OS_is_ubuntu2204:def:1': Ubuntu 22.04 LTS.
I: oscap: Определение 'oval:ssg-installed_OS_is_ubuntu2204:def:1' оценено как true.
I: oscap: Оценка определения 'oval:ssg-system_with_kernel:def:1': (null).
I: oscap: Определение 'oval:ssg-system_with_kernel:def:1' оценено как false.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_action_mail_acct' не применимо.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_admin_space_left_action'.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_admin_space_left_action' не выбрано.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_admin_space_left_percentage'.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_admin_space_left_percentage' не выбрано.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_max_log_file'.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_max_log_file' не выбрано.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_max_log_file_action'.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_max_log_file_action' не выбрано.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_max_log_file_action_stig'.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_max_log_file_action_stig' не выбрано.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_num_logs'.
I: oscap: Правило 'xccdf_org.ssgproject.content_rule_auditd_data_retention_num_logs' не выбрано.
I: oscap: Оценка правила XCCDF 'xccdf_org.ssgproject.content_rule_auditd_data_retention_space_left_action'.
Result^M        неприменимо

        <linux:dpkginfo_object id="oval:ssg-obj_inventory_test_kernel_installed:obj:1" version="1">
          <linux:name>ядро</linux:name>
        </linux:dpkginfo_object>

Ответ или решение

Когда ваша команда использует OpenSCAP для оценки системы Ubuntu 22 на соответствие требованиям STIG, может возникнуть множество случаев, когда тесты возвращают статус «notapplicable». Это явление может быть связано с несколькими техническими аспектами, которые важно понять для корректной интерпретации результатов.

Причины возврата статуса «notapplicable»

1. Отсутствие соответствующих пакетов:
   Ваше расследование показало, что многие тесты зависят от наличия определенных пакетов, в частности проверки на наличие пакета с именем «kernel». В вашем случае OpenSCAP ищет пакет, который явно не существует. В Ubuntu ядро не устанавливается как отдельный пакет с именем «kernel». Вместо этого ядро доступно через множество пакетов с конкретными версиями (например, linux-image-generic).

2. Неправильные Овальные определения:
   Овальные определения (OVAL) в скрипте могут неверно соответствовать вашей системе. Если они ищут пакеты, которых нет, это приведет к статусу «notapplicable» для тестов, которые не могут быть выполнены из-за отсутствия необходимых условий. Необходимо перепроверить, все ли Овальные определения актуальны для вашей версии Ubuntu.

3. Необходимость правильной настройки профиля:
   Вы используете профиль xccdf_org.ssgproject.content_profile_stig. Убедитесь, что выбранный вами профиль соответствует целям вашего аудита. Иногда тесты, созданные для одной версии операционной системы или пакета, могут не находить соответствия в другой версии. Это может объяснять, почему некоторые тесты не применимы.

4. Версия SCAP Content:
   Проверьте, что используете последнюю стабильную версию SCAP Content. Иногда старые версии содержат ошибки или недочеты, которые могут повлиять на точность тестов. Если последняя версия не решает проблему, возможно, стоит обратиться к документации или сообществу для поиска актуальных решений.

5. Приоритеты тестов в конфигурации:
   Убедитесь, что все соответствующие тесты включены в вашу конфигурацию. Если какие-либо тесты отключены в процессе настройки оценки, это также может приводить к статусу «notapplicable» для этих тестов.

Рекомендации по диагностике проблем

1. Анализ дополнительных логов:
   Используйте команду oscap с дополнительными параметрами логирования, чтобы получить больше деталей о процессах выполнения. Это позволит выявить, на каком из этапов возникают проблемы.

2. Изучение документации:
   Обратитесь к документам OpenSCAP и SCAP Security Guide для более глубокого понимания специфики каждого теста и его требований.

3. Взаимодействие с сообществом:
   Если вы столкнулись с непонятными ситуациями, поищите решения или задайте вопросы на форумах сообщества OpenSCAP. Часто пользователи сталкиваются с аналогичными проблемами и могут предложить полезные решения.

4. Проверка наличия обновлений:
   Убедитесь, что ваша система и все необходимые пакеты обновлены. Некоторые тесты могут не применяться из-за того, что в вашей системе не установлены последние версии программного обеспечения.

Заключение

Статус «notapplicable» во время оценки системы с использованием OpenSCAP может возникнуть по множеству причин, связанных с несоответствием конкретных требований тестов вашей системе Ubuntu 22. Важно внимательно изучить каждое из отрицательных утверждений, чтобы понять, какие пакеты и условия необходимы для успешного прохождения теста, а также корректировать параметры окружения и настройки тестирования в соответствии с текущими реалиями системы.