Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.11.2. atomic scanを使用したコンテナーイメージおよびコンテナーの設定コンプライアンスの修復

元のコンテナーイメージに対して設定コンプライアンススキャンを実行し、DISA STIG ポリシーへのコンプライアンスを確認することができます。スキャン結果に基づいて、失敗したスキャン結果の bash 修復を含む修正スクリプトが生成されます。その後、修正スクリプトは元のコンテナーイメージに適用されます。これは修復 と呼ばれます。修復により、変更した設定を含むコンテナーイメージが作成されます。これは、元のコンテナーイメージ上に新しいレイヤーとして追加されます。
重要
元のコンテナーイメージは変更されないままであり、その上には新しいレイヤーのみが作成されることに注意してください。修復プロセスでは、すべての設定の改善点が含まれる新しいコンテナーイメージを構築します。このレイヤーの内容は、スキャンのセキュリティーポリシー(前の例では DISA STIG ポリシー)によって定義されます。これは、修復されたコンテナーイメージが Red Hat によって署名されなくなったことを意味します。これは、修復されたレイヤーを含む元のコンテナーイメージとは異なるためです。

前提条件

Procedure

  1. configuration_compliance スキャンの OpenSCAP イメージで提供される SCAP コンテンツを一覧表示します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
  2. 指定したポリシーにコンテナーイメージを修正するには、設定コンプライアンスのスキャン時に --remediate オプションを atomic scan コマンドに追加します。以下のコマンドは、Red Hat Enterprise Linux 7 コンテナーイメージから DISA STIG ポリシーに準拠する新しいコンテナーイメージを構築します。
    ~]# atomic scan --remediate --scan_type configuration_compliance --scanner_args profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest 
    
    registry.access.redhat.com/rhel7:latest (db7a70a0414e589)
    
    The following issues were found:
    ............
    	 Configure Time Service Maxpoll Interval
    	 Severity: Low
    		 XCCDF result: fail
    
    	 Configure LDAP Client to Use TLS For All Transactions
    	 Severity: Moderate
    		 XCCDF result: fail
    ............
    Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll'
    Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls'
    
    Successfully built 9bbc7083760e
    Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2.
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000.
    
  3. オプション: atomic scan コマンドの出力は、修正されたイメージ ID を報告します。イメージが簡単に覚えられるようにするには、以下のような名前でタグを付けます。
    ~]# docker tag 9bbc7083760e rhel7_disa_stig

このページには機械翻訳が使用されている場合があります (詳細はこちら)。