Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
8.11. 원자 검사를 사용하여 컨테이너 이미지 및 컨테이너의 구성 검사및 수정
8.11.1. 원자 검사를 사용하여 컨테이너 이미지 및 컨테이너의 구성 규정 준수 검사
이러한 유형의 스캔을 사용하여 OpenSCAP 컨테이너 이미지 내에 번들로 제공된 SCAP 콘텐츠로 Red Hat Enterprise Linux 기반 컨테이너 이미지와 컨테이너를 평가합니다. 이를 통해 SCAP 보안 가이드에서 제공하는 모든 프로필과의 스캔이 가능합니다.
참고
atomic 명령 및 컨테이너 사용에 대한 자세한 내용은 Red Hat Enterprise Linux Atomic Host 제품 설명서를 참조하십시오. Red Hat 고객 포털은 Atomic CLI(명령줄 인터페이스)에 대한 가이드 도 제공합니다.
사전 요구 사항
- atomic install rhel7/openscap 명령을 사용하여 RHCC(Red Hat Container Catalog) 에서 OpenSCAP 컨테이너 이미지를 다운로드하여 설치했습니다.
절차
- configuration_compliance 검사에 대해 OpenSCAP 이미지에서 제공하는 SCAP 콘텐츠를 나열합니다.
~]#atomic help registry.access.redhat.com/rhel7/openscapDefense 정보 시스템국 보안 기술 구현 가이드(DISA container Guide) 정책을 사용하여 최신 Red Hat Enterprise Linux 7 컨테이너 이미지의 규정 준수를 확인하고 검사에서 HTML 보고서를 생성합니다.~]#atomic scan--scan_typeconfiguration_compliance--scanner_argsxccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,reportregistry.access.redhat.com/rhel7:latest이전 명령의 출력에는 마지막에 검사와 연결된 파일에 대한 정보가 포함되어 있습니다............. Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
~]#tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606 /var/lib/atomic/openscap/2017-11-03-13-35-34-296606 ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2 │ ├── arf.xml │ ├── fix.sh │ ├── json │ └── report.html └── environment.json 1 directory, 5 filesatomic 검사 에서는 모든 결과가 포함된 하위 디렉터리를 생성하고 /var/lib/atomic/openscap/ 디렉터리의 검사에서 보고합니다. 결과가 포함된 arf.xml 파일은 구성 준수에 대한 모든 스캔에 생성됩니다. 사람이 읽을 수 있는 HTML 보고서 파일을 생성하려면--scanner_args옵션에reportsuboption을 추가합니다. - 선택 사항: DISAProgress Viewer 가 읽을 수 있는 XCCDF 결과를 생성하려면
--scanner_args옵션에stig-viewer하위 옵션을 추가합니다. 결과는 stig.xml 에 표시됩니다.
참고
--scanner_args 옵션의 xccdf-id 하위 옵션이 생략되면 스캐너는 선택한 데이터 스트림 파일의 첫 번째 XCCDF 구성 요소에서 프로필을 검색합니다. 데이터 스트림 파일에 대한 자세한 내용은 8.3.1절. “RHEL 7의 구성 규정 준수” 을 참조하십시오.
