Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.11. 使用原子扫描扫描并修复容器镜像和容器的配置合规性

8.11.1. 使用原子扫描扫描来扫描容器镜像和容器的配置合规性

使用这种扫描类型,使用捆绑在 OpenSCAP 容器镜像中的 SCAP 安全指南(SSG)提供的 SCAP 内容评估基于红帽企业 Linux 的容器镜像和容器。这将启用对 SCAP 安全指南提供的任何配置集的扫描。

先决条件

流程

  1. 列出 OpenSCAP 镜像提供的用于 configuration_compliance 扫描的 SCAP 内容:
    ~]# atomic help registry.access.redhat.com/rhel7/openscap
    使用国防部安全技术实施指南(DISA STIG)策略验证最新红帽企业 Linux 7 容器镜像的合规性,并从扫描中生成 HTML 报告:
    ~]# atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest
    上一命令的输出包含与扫描相关的文件的信息:
    ............
    
    Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
    
    ~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
    ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
    │   ├── arf.xml
    │   ├── fix.sh
    │   ├── json
    │   └── report.html
    └── environment.json
    
    1 directory, 5 files
    原子扫描生成一个子目录,其中包含 /var/lib/atomic/openscap/ 目录中的扫描结果和报告。每次扫描时都会生成带有结果的 arf.xml 文件,以确保配置合规性。要生成人类可读的 HTML 报告文件,请将 report 子选项添加到 --scanner_args 选项。
  2. 可选: 要生成可由 DISA STIG Viewer 读取的 XCCDF 结果,将 stig-viewer 子选项添加到 --scanner_args 选项。结果放置在 stig.xml 中。
注意
当省略 --scanner_args 选项的 xccdf-id 子选项时,扫描程序会在所选数据流文件中的第一个 XCCDF 组件中搜索配置集。有关数据流文件的详情,请参考 第 8.3.1 节 “RHEL 7 中的配置合规性”