Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.11. 『コンテナーイメージおよびコンテナーのスキャンおよび修復』 atomic scan

8.11.1. コンテナーイメージおよびコンテナーのコンプライアンスのスキャン atomic scan

このタイプのスキャンを使用して、OpenSCAP コンテナーイメージ内にバンドルした SCAP Security Guide(SSG)が提供する SCAP コンテンツを持つ Red Hat Enterprise Linux ベースのコンテナーイメージおよびコンテナーを評価します。これにより、SCAP Security Guide が提供するプロファイルに対するスキャンが可能になります。
注記
atomic コマンドおよびコンテナーの使用方法の詳細な説明は、Red Hat Enterprise Linux Atomic Host の製品ドキュメント を参照してください。Red Hat カスタマーポータルは、Atomic コマンドラインインターフェース(CLI)のガイド も提供します。

前提条件

  • atomic install rhel7/openscap コマンドを使用して Red Hat Container Catalog(RHCC) から OpenSCAP コンテナーイメージをダウンロードし、インストールしている。

手順

  1. configuration_compliance スキャンの OpenSCAP イメージが提供する SCAP コンテンツを一覧表示します。
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
    Defense Information Systems Agency Security Technical Implementation Guide(DISA STIG)ポリシーを使用して、最新の Red Hat Enterprise Linux 7 コンテナーイメージに準拠して、スキャンから HTML レポートを生成します。
    ~]# atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest
    上記のコマンドの出力には、最後にスキャンに関連するファイルに関する情報が含まれます。
    ............
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
    
    ~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
    │   ├── arf.xml
    │   ├── fix.sh
    │   ├── json
    │   └── report.html
    └── environment.json
    
    1 directory, 5 files
    atomic scan は、すべての結果でサブディレクトリーを生成し、/var/lib/atomic/openscap/ ディレクトリーのスキャンからレポートします。結果のある arf.xml ファイルが、設定コンプライアンスに対するすべてのスキャンで生成されます。人間が判読できる HTML レポートファイルを生成するには、--scanner_args オプションに report サブオプションを追加します。
  2. オプション: DISA STIG Viewer で読み取り可能な XCCDF 結果を生成するには、--scanner_args オプションに stig-viewer サブオプションを追加します。結果は stig.xml に置かれます。
注記
--scanner_args オプションの xccdf-id サブオプションが省略されると、スキャナーは選択したデータストリームファイルの最初の XCCDF コンポーネントでプロファイルを検索します。データストリームファイルの詳細は、「RHEL 7 の設定コンプライアンス」 を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。