Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.10. 特定のベースラインを使用したコンテナーまたはコンテナーイメージの設定コンプライアンスの評価

以下の手順に従い、Operating System Protection Profile (OSPP) や Payment Card Industry Data Security Standard (PCI-DSS) などの特定のセキュリティーベースラインのあるコンテナーまたはコンテナーイメージのコンプライアンスを評価します。

前提条件

  • openscap-utils パッケージおよび scap-security-guide パッケージがインストールされている。

手順

  1. コンテナーまたはコンテナーイメージの ID を取得します。以下に例を示します。
    ~]# docker images
    REPOSITORY                            TAG      IMAGE ID       CREATED       SIZE
    registry.access.redhat.com/ubi7/ubi   latest   096cae65a207   7 weeks ago   239 MB
  2. OSPP プロファイルでコンテナーイメージのコンプライアンスを評価し、スキャン結果を report.html HTML ファイルに保存します。
    ~]$ sudo oscap-docker 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
    PCI-DSS ベースラインで設定コンプライアンスを評価する場合は、096cae65a207 をコンテナーイメージの ID に、ospp の値を pci-dss に置き換えてください。

検証

  1. 結果をブラウザーで確認します。以下に例を示します。
    ~]$ firefox report.html &
注記
notapplicable が付いているルールは、コンテナー化されたシステムには適用されないルールです。これらのルールは、ベアメタルシステムまたは仮想化システムにのみ適用されます。

関連情報

  • 詳細は、oscap-docker(8) および scap-security-guide(8) の man ページを参照してください。
  • file:///usr/share/doc/scap-security-guide-doc-0.1.46/ ディレクトリーにインストールされている SCAP Security Guide に関するドキュメント