8.9.2. 원자 검사를 사용하여 컨테이너 이미지 및 컨테이너 스캔에서 취약점 검색
atomic 검사 유틸리티를 사용하면 컨테이너 및 컨테이너 이미지에서 Red Hat에서 릴리스한 CVE OVAL 정의에 정의된 알려진 보안 취약점에 대해 스캔할 수 있습니다. atomic scan 명령에는 다음과 같은 형식이 있습니다.
~]#atomic scan[OPTIONS][ID]
여기서 ID 는 검사할 컨테이너 이미지 또는 컨테이너의 ID입니다.
사용 사례
- 모든 컨테이너 이미지를 검사하려면
--images지시문을 사용합니다. - 모든 컨테이너를 스캔하려면
--containers지시문을 사용합니다. - 두 유형을 모두 검사하려면
--all지시문을 사용합니다. - 사용 가능한 모든 명령줄 옵션을 나열하려면 atomic scan
--help명령을 사용합니다.
atomic 검사 명령의 기본 검사 유형은 CVE 검사 입니다. Red Hat에서 제공하는 CVE OVAL 정의에 정의된 알려진 보안 취약점의 타겟을 확인하려면 이를 사용합니다.
사전 요구 사항
- atomic install rhel7/openscap 명령을 사용하여 RHCC(Red Hat Container Catalog) 에서 OpenSCAP 컨테이너 이미지를 다운로드하여 설치했습니다.
절차
- 정의가 최신 상태인지 확인하기 위해 최신 OpenSCAP 컨테이너 이미지가 있는지 확인합니다.
~]#atomic help registry.access.redhat.com/rhel7/openscap| grepversion중요Red Hat은 컨테이너 이미지의 매주 업데이트를 제공합니다. 항상 최신 OpenSCAP 컨테이너 이미지를 사용하여 CVE 스캔 유형에서 사용하는 OVAL 정의가 최신 상태인지 확인합니다. - 여러 알려진 보안 취약점이 있는 RHEL 7.2 컨테이너 이미지를 스캔합니다.
~]#atomic scan registry.access.redhat.com/rhel7:7.2 docker run -t --rm -v /etc/localtime:/etc/localtime -v /run/atomic/2017-11-01-14-49-36-614281:/scanin -v /var/lib/atomic/openscap/2017-11-01-14-49-36-614281:/scanout:rw,Z -v /etc/oscapd:/etc/oscapd:ro registry.access.redhat.com/rhel7/openscap oscapd-evaluate scan --no-standard-compliance --targets chroots-in-dir:///scanin --output /scanout registry.access.redhat.com/rhel7:7.2 (98a88a8b722a718) The following issues were found: RHSA-2017:2832: nss security update (Important) Severity: Important RHSA URL: https://access.redhat.com/errata/RHSA-2017:2832 RHSA ID: RHSA-2017:2832-01 Associated CVEs: CVE ID: CVE-2017-7805 CVE URL: https://access.redhat.com/security/cve/CVE-2017-7805 ...
추가 리소스
- Red Hat Enterprise Linux Atomic Host 제품 문서에 는 atomic 명령 사용과 컨테이너에 대한 자세한 설명이 포함되어 있습니다.
- Red Hat 고객 포털은 Atomic CLI(명령줄 인터페이스)에 대한 가이드 를 제공합니다.
