Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.11. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャンと修正

8.11.1. atomic scan を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャン

このタイプのスキャンを使用して、OpenSCAP コンテナイメージ内にバンドルされた SCAP Security Guide (SSG) によって提供される SCAP コンテンツを持つ Red Hat Enterprise Linux ベースのコンテナーイメージとコンテナーを評価します。これにより、SCAP セキュリティーガイドで提供されるあらゆるプロファイルに対するスキャンが可能になります。
注記
atomic コマンドとコンテナーの使用方法の詳細については、Product Documentation for Red Hat Enterprise Linux Atomic Host を参照してください。Red Hat カスタマーポータルでは、Atomic コマンドラインインターフェイス (CLI) のガイド も提供しています。

前提条件

  • OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から atomic install rhel7/openscap コマンドを実行してダウンロードしてインストールしました。

手順

  1. configuration_compliance スキャンの OpenSCAP イメージで提供される SCAP コンテントの一覧を表示するには、以下のコマンドを実行します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
    最新の Red Hat Enterprise Linux 7 コンテナーイメージの米国国防情報システム局のセキュリティー技術実装ガイド (DISA STIG) ポリシーへの準拠を検証し、スキャンから HTML レポートを生成します。
    ~]# atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest
    上記のコマンドの出力の最後には、スキャンに関連するファイルの情報が含まれています。
    ............
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
    
    ~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
    │   ├── arf.xml
    │   ├── fix.sh
    │   ├── json
    │   └── report.html
    └── environment.json
    
    1 directory, 5 files
    atomic scan は、/var/lib/atomic/openscap/ ディレクトリー内のスキャンからのすべての結果とレポートを含むサブディレクトリーを生成します。設定準拠のため、スキャンごとに結果を含む arf.xml ファイルが生成されます。人間が判読可能な HTML 形式のレポートファイルを生成するには、report サブオプシ ョンを --scanner_args オプションに追加してください。
  2. オプション: DISA STIG Viewer で読み取り可能な XCCDF の結果を生成するには、stig-viewer サブオプションを --scanner_args オプションに追加してください。この結果は、stig.xml に配置されます。
注記
--scanner_args オプションの xccdf-id サブオプションが省略された場合、スキャナーは、選択されたデータストリームファイルの最初の XCCDF コンポーネントでプロファイルを検索します。データストリームファイルの詳細については、「RHEL 7 の設定コンプライアンス」 を参照してください。