您的数据中心可能会使用一些Linux系统服务器。因此，您希望尽可能多的了解这些服务器。它们是修补过的还是脆弱的？这意味着您需要运行安全性审计。

应该如何操作？应该使用哪些工具？如果您搜索Linux审计工具，您将会搜倒很多很多工具。在结果中，您会看一个名为OpenSCAP的工具。

OpenSCAP为管理员和审计人员提供了必要的工具来评估、度量和执行安全基线。它非常容易安装，而且几乎同样容易使用。我将演示如何在Ubuntu服务器18.04上实现这一点。

要实现这一点，您只需要一个Ubuntu Server 18.04的工作实例(包括一个正在运行的web服务器)和一个具有sudo特权的用户帐户。

首先要处理的任务是安装OpenSCAP。因为我们是从命令行开始工作的，所以我们只安装OpenSCAP base(这是一个命令行工具)。为此，打开一个终端窗口(或登录到Linux服务器)并发出以下命令:

一、安装

首要任务是安装OpenSCAP。由于我们是从命令行开始工作的，因此我们只安装OpenSCAP库（这是一个仅限命令行的工具）。为此，请打开终端窗口（或登录Linux服务器）并发出命令：

sudo apt-get install libopenscap8 -y

如果您的数据中心服务器是CentOS，则可以使用以下命令安装该工具：

sudo yum安装openscap-scanner

安装完成后，您就可以继续了。

二、下载SCAP配置文件

接下来，我们需要下载OpenSCAP命令将用于审计的特定于Ubuntu的配置文件。在Ubuntu机器不包含wget命令的情况下，安装它：

sudo apt-get install wget -y

安装wget后，使用以下命令下载必要的OVAL定义：

wget https://people.canonical.com/~ubuntu-security/oval/com.ubuntu.xenial.cve.oval.xml

警告，此下载将花费一两分钟。

注意：如果在数据中心服务器上运行CentOS或RHEL，则可以使用以下命令下载OVAL定义：

wget https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2

然后，您需要使用以下命令提取该文件：

bunzip2 com.redhat.rhsa-RHEL7.xml.bz2

三、运行审核

现在您已拥有该配置文件，是时候运行审计了。为此，发出命令：

oscap oval eval --results /tmp/oscap_results.xml --report /tmp/oscap_report.html com.ubuntu.xenial.cve.oval.xml

完整扫描确实需要相当长的时间（并且最初不会向stdout输出任何内容），因此它似乎什么都不做。它是。耐心点。

四、查看报告

扫描会将其结果输出到两个文件，即.xml和.html文件。我们想查看.html文件。为此，请发出命令

sudo cp /tmp/oscap_report.html / var / www / html /

注意：如果Web服务器的文档根目录位于/ var / www / html以外的位置，请将报告文件复制到那里。将浏览器指向http：//SERVER_IP/oscap_report.html（其中SERVER_IP是Linux服务器的IP地址）。您应该看到的是一份相当冗长的报告，详细说明了所提供的每个扫描结果，如下图。

如您所见，结果显示每个漏洞的详细信息，以及每个漏洞的CVE链接。如果您看到任何结果列为true，则需要立即解决该漏洞。明白，有很多漏洞经过测试（超过13,000个），所以希望你的Ubuntu服务器在每次测试时都会出错。

当然，您实际上不必滚动整个结果。您可以随时快速浏览一下OVAL结果生成器信息（如下图），看看有多少漏洞：

未打补丁（红色）、修补（绿色）、错误（黄色）、未知（蓝色）、其他（白色）

如果你看到任何红色的东西，你需要滚动列表，找出未修补的内容，并立即修补它。

这可能是扫描数据中心Linux服务器上已知漏洞的最佳方法。试一试OpenSCAP，看看它是否有助于确保尽可能多地了解Linux服务器漏洞的状态。