Show Table of Contents
7.11.1.
7.11.2.
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
7.11. atomic scan を使用するコンテナーイメージおよびコンテナーの設定コンプライアンスのスキャンおよび修復
7.11.1. atomic scan
を使用したコンテナーイメージとコンテナーの設定コンプライアンスのスキャン
このタイプのスキャンを使用して、OpenSCAP コンテナー内でバンドル化されている SCAP Security Guide (SSG) で Red  Hat Enterprise Linux ベースのコンテナーイメージとコンテナーイメージを評価します。これにより、SCAP Security Guide で提供されるすべてのプロファイルに対するスキャンが可能になります。
注記
atomic
コマンドの使用法およびコンテナーの詳細は、Red Hat Enterprise Linux Atomic Host の製品ドキュメントを参照してください。その他にも、Red Hat Customer Portal では、Atomic コマンドラインインターフェース (CLI) のガイドを提供しています。
前提条件
- OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から
atomic install rhel7/openscap
コマンドを実行してダウンロードしてインストールしました。
手順
- configuration_compliance スキャンの OpenSCAP イメージで提供される SCAP コンテントの一覧を表示するには、以下のコマンドを実行します。
~]#
atomic help registry.access.redhat.com/rhel7/openscapDISA STIG (Defense Information Systems Agency Security Technical Implementation Guide) ポリシーを使用して、最新の Red Hat Enterprise Linux 7 コンテナーイメージのコンプライアンスを確認し、スキャンから HTML レポートを生成します。~]#
atomic scan--scan_type
configuration_compliance--scanner_args
xccdf-id=
scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=
xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report
registry.access.redhat.com/rhel7:latest前述のコマンドの出力には、最後のスキャンに関連付けられている情報が含まれます。............ Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
~]#
tree
/var/lib/atomic/openscap/2017-11-03-13-35-34-296606 /var/lib/atomic/openscap/2017-11-03-13-35-34-296606 ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2 │ ├── arf.xml │ ├── fix.sh │ ├── json │ └── report.html └── environment.json 1 directory, 5 filesatomic scan
は、/var/lib/atomic/openscap/ディレクトリーのスキャンの結果とレポートをすべて使用してサブディレクトリーを生成します。設定コンプライアンスに対するすべてのスキャンで、結果が含まれるarf.xmlファイルが作成されます。人間が判読可能な HTML レポートファイルを生成するには、report
サブオプションを--scanner_args
オプションに追加します。 - オプション: DISA STIG Viewer で読み取り可能な XCCDF 結果を生成するには、
--scanner_args
オプションにstig-viewer
サブオプションを追加します。結果は stig.xml に追加されます。
注記
--scanner_args
オプションのxccdf-id
サブオプションを省略した場合、スキャナーは、選択したデータストリームファイルの最初の XCCDF コンポーネントでプロファイルを検索します。データストリームファイルの詳細は、「RHEL 7 の設定コンプライアンス」を参照してください。
7.11.2. atomic scan
を使用するコンテナーイメージおよびコンテナーの設定コンプライアンスの修復
元のコンテナーイメージに対して設定コンプライアンススキャンを実行して、DISA STIG ポリシーへの準拠を確認できます。スキャン結果に基づいて、失敗したスキャン結果の bash 修正を含む修正スクリプトが生成されます。次に、修正スクリプトが元のコンテナーイメージに適用されます。これは修復と呼ばれます。この修復により、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。
重要
オリジナルのコンテナーイメージが変更せず、その上に新しいレイヤーが作成されるという点に注意してください。修復プロセスは、設定改善をすべて含むコンテナーイメージを新たに構築します。このレイヤーのコンテンツは、スキャンのセキュリティーポリシーにより定義します (前述の例では DISA STIG ポリシーとなります)。また、これは、修復されたコンテナーイメージが Red Hat により署名されなくなることを意味しておりますが、これは予想されます。修復されたレイヤーを含むオリジナルのコンテナーイメージとは異なるためです。
前提条件
- OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から
atomic install rhel7/openscap
コマンドを実行してダウンロードしてインストールしました。
手順
- configuration_compliance スキャンの OpenSCAP イメージで提供される SCAP コンテントの一覧を表示するには、以下のコマンドを実行します。
~]#
atomic help registry.access.redhat.com/rhel7/openscap - コンテナーイメージを指定したポリシーに修復するには、設定コンプライアンスをスキャンする際に、
--remediate
オプションをatomic scan
コマンドに追加します。以下のコマンドは、Red Hat Enterprise Linux 7 コンテナーイメージから DISA STIG ポリシーと互換性のある、新たに修復されたコンテナーイメージを構築します。~]#
atomic scan--remediate
--scan_type
configuration_compliance--scanner_args
profile=
xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report
registry.access.redhat.com/rhel7:latest registry.access.redhat.com/rhel7:latest (db7a70a0414e589) The following issues were found: ............ Configure Time Service Maxpoll Interval Severity: Low XCCDF result: fail Configure LDAP Client to Use TLS For All Transactions Severity: Moderate XCCDF result: fail ............ Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll' Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls' Successfully built 9bbc7083760e Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2. Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000. - オプション:
atomic scan
コマンドの出力は、修復されたイメージ ID を報告します。イメージを覚えやすくするためにも、次のように名前を付けてください。~]#
dockertag
9bbc7083760e rhel7_disa_stig
このページには機械翻訳が使用されている場合があります (詳細はこちら)。