8.10. 评估容器或带有特定基本行的容器镜像的配置合规性
按照以下步骤,使用特定安全基线评估容器或容器镜像的合规性,如操作系统保护配置文件(OSPP)或支付卡行业数据安全标准(PCI-DSS)。
先决条件
- 已安装 openscap-utils 和 scap-security-guide 软件包。
流程
- 查找容器或容器镜像的 ID,例如:
~]#docker images REPOSITORY TAG IMAGE ID CREATED SIZE registry.access.redhat.com/ubi7/ubi latest 096cae65a207 7 weeks ago 239 MB - 使用 OSPP 配置集评估容器镜像的合规性,并将扫描结果保存到 report.html HTML 文件中。
~]$sudo oscap-docker 096cae65a207 xccdf eval --report report.html --profile ospp /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml如果您评估配置符合 PCI-DSS 基准,请将 096cae65a207 替换为您的容器镜像 ID,将 ospp 值替换为 pci-dss。
验证
- 在您选择的浏览器中检查结果,例如:
~]$firefox report.html &
注意
标记为 notapplicable 的规则是不适用于容器化系统的规则。这些规则仅适用于裸机或虚拟化系统。
其它资源
- 如需更多信息,请参阅
oscap-docker (8)和scap-security-guide (8)手册页。 SCAP 安全指南文档安装在file:///usr/share/doc/scap-security-guide-doc-0.1.46/目录中。
