Show Table of Contents
7.9.1.
7.9.2.
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
7.9. コンテナーとコンテナーイメージの脆弱性スキャン
これらの手順を使用して、コンテナーまたはコンテナーイメージのセキュリティの脆弱性を見つけます。
oscap-docker
コマンドラインユーティリティまたは atomic scan
コマンドラインユーティリティを使用することで、コンテナーまたはコンテナーイメージのセキュリティの脆弱性を見つけることができます。
oscap-docker
を使用することで、oscap
プログラムを使用してコンテナーイメージとコンテナーをスキャンできます。
atomic scan
では、OpenSCAP スキャン機能を使用して、システム上のコンテナーイメージとコンテナーをスキャンできます。既知の CVE 脆弱性と設定コンプライアンスをスキャンできます。さらに、コンテナーイメージを指定したポリシーに修正できます。
7.9.1. oscap-docker
を使用した脆弱性のコンテナーイメージとコンテナーのスキャン
oscap-docker
ユーティリティーを使用して、コンテナーとコンテナーイメージをスキャンできます。
注記
oscap-docker
コマンドには root 権限が必要です。コンテナーの ID は 2 番目の引数です。
前提条件
- openscap-containers パッケージがインストールされます。
手順
- コンテナーまたはコンテーナイメージの ID を見つけます。次に例を示します。
~]#
docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - コンテナーまたはコンテナーイメージの脆弱性をスキャンし、結果を vulnerability.html ファイルに保存します:
~]#
oscap-docker image-cve 096cae65a207 --report vulnerability.html重要
コンテナーをスキャンするには、image-cve
引数をcontainer-cve
に置き換えます。
検証
- 選択したブラウザーで結果を確認します。次に例を示します。
~]$
firefox vulnerability.html &
関連情報
- 詳細は、man ページの
oscap-docker (8)
およびoscap (8)
を参照してください。
7.9.2. atomic scan
を使用した脆弱性のコンテナーイメージとコンテナーのスキャン
atomic scan
ユーティリティを使用すると、「CVE OVAL definitions released by Red Hat」で定義されている既知のセキュリティの脆弱性についてコンテナーとコンテナーイメージをスキャンできます。atomic scan
コマンドには、以下の形式があります。
~]#
atomic scan[OPTIONS]
[ID]
ここで、ID は、スキャンするコンテナーイメージまたはコンテナーの ID です。
使用例
- すべてのコンテナイメージをスキャンするには、
--images
ディレクティブを追加します。 - すべてのコンテナをスキャンするには、
--containers
ディレクティブを追加します。 - 両方のタイプをスキャンするには、
--all
ディレクティブを追加します。 - 使用可能なすべてのコマンドラインオプションを一覧表示するには、
atomic scan
--help
コマンドを使用します。
atomic scan
コマンドのデフォルトのスキャンタイプは、CVE スキャン です。これを使用して、Red Hat が公開している CVE OVAL 定義で定義している既知のセキュリティー脆弱性の対象を確認するために使用します。
前提条件
- OpenSCAP コンテナーイメージを Red Hat Container Catalog (RHCC) から
atomic install rhel7/openscap
コマンドを実行してダウンロードしてインストールしました。
手順
- 最新の OpenSCAP コンテナイメージがあることを確認して、定義が最新であることを確認します。
~]#
atomic help registry.access.redhat.com/rhel7/openscap| grep
version重要
Red Hat はコンテナーイメージを毎週更新します。常に最新の OpenSCAP コンテナーイメージ を使用して、CVE スキャンタイプで使用される OVAL 定義は最新です。 - いくつかの既知のセキュリティの脆弱性がある RHEL 7.2 コンテナーイメージをスキャンします。
~]#
atomic scan registry.access.redhat.com/rhel7:7.2 docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718) The following issues were found: RHSA-2017:2832: nss security update (Important) Severity: Important RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832 RHSA ID: RHSA-2017:2832-01 Associated CVEs: CVE ID: CVE-2017-7805 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805 ...
関連情報
- Red  Hat Enterprise Linux Atomic Host の製品ドキュメント には、
atomic
コマンドの使用法とコンテナーの詳細な説明が含まれます。 - Red  Hat カスタマーポータルでは、Atomic コマンドラインインターフェース (CLI) のガイドを参照できます。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。