7.11. atomic scan を使用するコンテナーイメージおよびコンテナーの設定コンプライアンスのスキャンおよび修復

7.11.1. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャン

このタイプのスキャンを使用して、OpenSCAP コンテナー内でバンドル化されている SCAP Security Guide (SSG) で Red  Hat Enterprise Linux ベースのコンテナーイメージとコンテナーイメージを評価します。これにより、SCAP Security Guide で提供されるすべてのプロファイルに対するスキャンが可能になります。

注記

atomic コマンドの使用法およびコンテナーの詳細は、Red Hat Enterprise Linux Atomic Host の製品ドキュメントを参照してください。その他にも、Red Hat Customer Portal では、Atomic コマンドラインインターフェース (CLI) のガイドを提供しています。

前提条件

  • OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から atomic install rhel7/openscap コマンドを実行してダウンロードしてインストールしました。

手順

  1. configuration_compliance スキャンの OpenSCAP イメージで提供される SCAP コンテントの一覧を表示するには、以下のコマンドを実行します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
    DISA STIG (Defense Information Systems Agency Security Technical Implementation Guide) ポリシーを使用して、最新の Red Hat Enterprise Linux 7 コンテナーイメージのコンプライアンスを確認し、スキャンから HTML レポートを生成します。
    ~]# atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest
    前述のコマンドの出力には、最後のスキャンに関連付けられている情報が含まれます。
    ............
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
    
    ~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
    │   ├── arf.xml
    │   ├── fix.sh
    │   ├── json
    │   └── report.html
    └── environment.json
    
    1 directory, 5 files
    atomic scanは、/var/lib/atomic/openscap/ディレクトリーのスキャンの結果とレポートをすべて使用してサブディレクトリーを生成します。設定コンプライアンスに対するすべてのスキャンで、結果が含まれるarf.xmlファイルが作成されます。人間が判読可能な HTML レポートファイルを生成するには、reportサブオプションを --scanner_argsオプションに追加します。
  2. オプション: DISA STIG Viewer で読み取り可能な XCCDF 結果を生成するには、--scanner_args オプションにstig-viewer サブオプションを追加します。結果は stig.xml に追加されます。

注記

--scanner_args オプションのxccdf-id サブオプションを省略した場合、スキャナーは、選択したデータストリームファイルの最初の XCCDF コンポーネントでプロファイルを検索します。データストリームファイルの詳細は、「RHEL 7 の設定コンプライアンス」を参照してください。

7.11.2. atomic scan を使用するコンテナーイメージおよびコンテナーの設定コンプライアンスの修復

元のコンテナーイメージに対して設定コンプライアンススキャンを実行して、DISA STIG ポリシーへの準拠を確認できます。スキャン結果に基づいて、失敗したスキャン結果の bash 修正を含む修正スクリプトが生成されます。次に、修正スクリプトが元のコンテナーイメージに適用されます。これは修復と呼ばれます。この修復により、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。

重要

オリジナルのコンテナーイメージが変更せず、その上に新しいレイヤーが作成されるという点に注意してください。修復プロセスは、設定改善をすべて含むコンテナーイメージを新たに構築します。このレイヤーのコンテンツは、スキャンのセキュリティーポリシーにより定義します (前述の例では DISA STIG ポリシーとなります)。また、これは、修復されたコンテナーイメージが Red Hat により署名されなくなることを意味しておりますが、これは予想されます。修復されたレイヤーを含むオリジナルのコンテナーイメージとは異なるためです。

前提条件

  • OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から atomic install rhel7/openscap コマンドを実行してダウンロードしてインストールしました。

手順

  1. configuration_compliance スキャンの OpenSCAP イメージで提供される SCAP コンテントの一覧を表示するには、以下のコマンドを実行します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
  2. コンテナーイメージを指定したポリシーに修復するには、設定コンプライアンスをスキャンする際に、 --remediateオプションをatomic scanコマンドに追加します。以下のコマンドは、Red Hat Enterprise Linux 7 コンテナーイメージから DISA STIG ポリシーと互換性のある、新たに修復されたコンテナーイメージを構築します。
    ~]# atomic scan --remediate --scan_type configuration_compliance --scanner_args profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest 
    
    registry.access.redhat.com/rhel7:latest (db7a70a0414e589)
    
    The following issues were found:
    ............
    	 Configure Time Service Maxpoll Interval
    	 Severity: Low
    		 XCCDF result: fail
    
    	 Configure LDAP Client to Use TLS For All Transactions
    	 Severity: Moderate
    		 XCCDF result: fail
    ............
    Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll'
    Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls'
    
    Successfully built 9bbc7083760e
    Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2.
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000.
  3. オプション: atomic scan コマンドの出力は、修復されたイメージ ID を報告します。イメージを覚えやすくするためにも、次のように名前を付けてください。
    ~]# docker tag 9bbc7083760e rhel7_disa_stig 

このページには機械翻訳が使用されている場合があります (詳細はこちら)。