Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.11. atomic scanを使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャンと修正

8.11.1. atomic scanを使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャン

このタイプのスキャンを使用して、OpenSCAP コンテナーイメージ内にバンドルされた SCAP Security Guide (SSG)によって提供される SCAP コンテンツで Red Hat Enterprise Linux ベースのコンテナーイメージとコンテナーを評価します。これにより、SCAP セキュリティーガイドで提供されるあらゆるプロファイルに対するスキャンが可能になります。
警告
アトミックスキャン 機能は非推奨となり、OpenSCAP コンテナーイメージは新しいセキュリティーコンプライアンスコンテンツで更新されなくなりました。したがって、セキュリティーコンプライアンススキャンの目的で oscap-docker ユーティリティーを使用することが推奨されます。
注記
atomic コマンドとコンテナーの使用方法の詳細については、Product Documentation for Red Hat Enterprise Linux Atomic Host 7 を参照してください。Red Hat カスタマーポータルでは、 atomic コマンドラインインターフェイス(CLI)のガイド も提供しています。

前提条件

  • atomic install rhel7/openscap コマンドを使用して、Red Hat Container Catalog (RHCC) から OpenSCAP コンテナーイメージをダウンロードしてインストール している。

手順

  1. configuration_compliance スキャン用に OpenSCAP イメージによって提供される SCAP コンテンツを一覧表示します。 
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
    最新の Red Hat Enterprise Linux 7 コンテナーイメージの米国国防情報システム局のセキュリティー技術実装ガイド (DISA STIG) ポリシーへの準拠を検証し、スキャンから HTML レポートを生成します。 
    ~]# atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest
    上記のコマンドの出力の最後には、スキャンに関連するファイルの情報が含まれています。 
    ............

Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.

~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
/var/lib/atomic/openscap/2017-11-03-13-35-34-296606
├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
│   ├── arf.xml
│   ├── fix.sh
│   ├── json
│   └── report.html
└── environment.json

1 directory, 5 files
    atomic scan は、/var/lib/atomic/openscap/ ディレクトリーのスキャンからすべての結果とレポートを含むサブディレクトリーを生成します。設定準拠のため、スキャンごとに結果を含む arf.xml ファイルが生成されます。人間が判読可能な HTML 形式のレポートファイルを生成するには、report サブオプシ ョンを --scanner_args オプションに追加してください。
  2. オプション: DISA STIG Viewer が読み取り可能な XCCDF 結果を生成するには、stig-viewer サブオプションを --scanner_args オプションに追加します。この結果は、stig.xml に配置されます。
注記
--scanner_args オプションの xccdf-id サブオプションが省略された場合、スキャナーは、選択されたデータストリームファイルの最初の XCCDF コンポーネントでプロファイルを検索します。データストリームファイルの詳細については、「RHEL 7 の設定コンプライアンス」 を参照してください。

8.11.2. atomic scanを使用したコンテナーイメージとコンテナーの設定コンプライアンスの修正

オリジナルのコンテナーイメージに対して設定コンプライアンススキャンを実行し、DISA STIG ポリシーへの準拠を確認することができます。スキャン結果に基づき、失敗したスキャン結果に対して、bash による修復を含む修正スクリプトが生成されます。その後、修正スクリプトを元のコンテナーイメージに適用します。これを修復と呼びます。修復の結果、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。
重要
元のコンテナーイメージは変更されず、新しいレイヤーがその上に作成されるだけである点に注意してください。修復プロセスでは、すべての設定の改善を含む新しいコンテナーイメージが構築されます。このレイヤーの内容は、スキャニングのセキュリティーポリシー (前の例では DISA STIG ポリシー) によって定義されます。これは、修復されたコンテナーイメージが Red Hat によって署名されなくなったことも意味します。これは想定内であり、修復されたレイヤーが含まれているという点で、元のコンテナーイメージとは異なることが原因となっています。
警告
アトミックスキャン 機能は非推奨となり、OpenSCAP コンテナーイメージは新しいセキュリティーコンプライアンスコンテンツで更新されなくなりました。したがって、セキュリティーコンプライアンススキャンの目的で oscap-docker ユーティリティーを使用することが推奨されます。

前提条件

  • atomic install rhel7/openscap コマンドを使用して、Red Hat Container Catalog (RHCC) から OpenSCAP コンテナーイメージをダウンロードしてインストール している。

手順

  1. configuration_compliance スキャン用に OpenSCAP イメージによって提供される SCAP コンテンツを一覧表示します。 
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
  2. 指定したポリシーにコンテナーイメージを修復するには、設定コンプライアンスをスキャンするときに --remediate オプションを atomic scan コマンドに追加します。次のコマンドは、Red Hat Enterprise Linux 7 コンテナーイメージから DISA STIG ポリシーに準拠した新しい修復済みコンテナーイメージをビルドします。 
    ~]# atomic scan --remediate --scan_type configuration_compliance --scanner_args profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest 

registry.access.redhat.com/rhel7:latest (db7a70a0414e589)

The following issues were found:
............
	 Configure Time Service Maxpoll Interval
	 Severity: Low
		 XCCDF result: fail

	 Configure LDAP Client to Use TLS For All Transactions
	 Severity: Moderate
		 XCCDF result: fail
............
Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll'
Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls'

Successfully built 9bbc7083760e
Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2.

Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000.
  3. オプション: atomic scan コマンドの出力は、修復されたイメージ ID を報告します。イメージを覚えやすくするために、以下のような名前を付けてください。 
    ~]# docker tag 9bbc7083760e rhel7_disa_stig