Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.11.2. 使用原子扫描修复容器镜像和容器的配置合规性

您可以针对原始容器镜像运行配置合规性扫描,以检查其是否符合 DISA STIG 策略。根据扫描结果,将生成一个包含失败扫描结果 bash 补救的修复脚本。然后,修复脚本应用于原始容器镜像 - 这称为补救。补救会生成带有更改配置的容器镜像,该配置作为原始容器镜像顶部的新层添加。
重要
请注意,原始容器镜像保持不变,并且在其上仅创建一个新层。补救过程构建包含所有配置改进的新容器镜像。此层的内容由扫描的安全策略定义 - 在先前情况下,DISA STIG 策略。这也意味着红帽不再签名修复的容器镜像,这是预期的,因为它与原始容器镜像不同,因为它包含修复的层。

先决条件

流程

  1. 列出 OpenSCAP 镜像提供的用于 configuration_compliance 扫描的 SCAP 内容:
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
  2. 若要将容器镜像修复到指定的策略,可在扫描配置合规性时将 --remediate 选项添加到 atomic scan 命令。以下命令从 Red Hat Enterprise Linux 7 容器镜像构建符合 DISA STIG 策略的新修复容器镜像:
    ~]# atomic scan --remediate --scan_type configuration_compliance --scanner_args profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest 
    
    registry.access.redhat.com/rhel7:latest (db7a70a0414e589)
    
    The following issues were found:
    ............
    	 Configure Time Service Maxpoll Interval
    	 Severity: Low
    		 XCCDF result: fail
    
    	 Configure LDAP Client to Use TLS For All Transactions
    	 Severity: Moderate
    		 XCCDF result: fail
    ............
    Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll'
    Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls'
    
    Successfully built 9bbc7083760e
    Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2.
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000.
    
  3. 可选:atom scan 命令的输出报告一个修复的镜像 ID。为了更容易记住镜像,使用一些名称标记它,例如:
    ~]# docker tag 9bbc7083760e rhel7_disa_stig