8.11.2. 원자 검사를사용하여 컨테이너 이미지 및 컨테이너의 구성 규정 준수 수정
원래 컨테이너 이미지에 대해 구성 컴플라이언스 검사를 실행하여 DISAonnectionFactory 정책 준수를 확인할 수 있습니다. 검사 결과에 따라 실패한 검사 결과에 대한 bash 수정이 포함된 수정 스크립트가 생성됩니다. 그러면 수정 스크립트가 원래 컨테이너 이미지에 적용됩니다. 이를 수정이라고 합니다. 수정으로 인해 변경된 구성이 포함된 컨테이너 이미지가 원본 컨테이너 이미지 위에 새 계층으로 추가됩니다.
중요
원래 컨테이너 이미지는 변경되지 않고 새 계층만 생성됩니다. 수정 프로세스는 모든 구성 개선 사항이 포함된 새 컨테이너 이미지를 빌드합니다. 이 계층의 콘텐츠는 스캔의 보안 정책에 따라 정의되며 이전의 경우 DISA STIG 정책입니다. 또한 수정된 컨테이너 이미지가 포함된 Red Hat에서 더 이상 서명하지 않습니다. 이는 수정 계층을 포함하여 원래 컨테이너 이미지와 다르기 때문에 예상되는 것입니다.
사전 요구 사항
- atomic install rhel7/openscap 명령을 사용하여 RHCC(Red Hat Container Catalog) 에서 OpenSCAP 컨테이너 이미지를 다운로드하여 설치했습니다.
절차
- configuration_compliance 검사에 대해 OpenSCAP 이미지에서 제공하는 SCAP 콘텐츠를 나열합니다.
~]#
atomic help registry.access.redhat.com/rhel7/openscap - 컨테이너 이미지를 지정된 정책에 해결하려면 구성 컴플라이언스를 스캔할 때
--remediate
옵션을 atomic 검사 명령에 추가합니다. 다음 명령은 Red Hat Enterprise Linux 7 컨테이너 이미지에서 DISA810 정책과 호환되는 새로운 수정 컨테이너 이미지를 빌드합니다.~]#
atomic scan--remediate
--scan_type
configuration_compliance--scanner_args
profile=
xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report
registry.access.redhat.com/rhel7:latest registry.access.redhat.com/rhel7:latest (db7a70a0414e589) The following issues were found: ............ Configure Time Service Maxpoll Interval Severity: Low XCCDF result: fail Configure LDAP Client to Use TLS For All Transactions Severity: Moderate XCCDF result: fail ............ Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll' Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls' Successfully built 9bbc7083760e Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2. Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000. - 선택 사항: atomic 검사 명령의 출력에는 수정된 이미지 ID가 보고됩니다. 이미지를 쉽게 기억할 수 있도록 하려면 다음과 같이 일부 이름으로 태그를 지정합니다.
~]#
dockertag
9bbc7083760e rhel7_disa_stig