8.11. 使用 原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性
8.11.1. 使用 原子扫描扫描来扫描容器镜像和容器的配置合规性
使用这种类型的扫描来评估基于 Red Hat Enterprise Linux 的容器镜像和容器,以及 SCAP 安全指南(SSG)在 OpenSCAP 容器镜像中提供的 SCAP 内容。这可启用对 SCAP 安全指南提供的任何配置集进行扫描。
警告
atomic 扫描 功能已弃用,OpenSCAP 容器镜像不再使用新的安全合规内容更新。因此,首选 oscap-docker 工具用于安全合规性扫描。
注意
有关使用 atomic 命令和容器的详情,请查看 Red Hat Enterprise Linux Atomic Host 7 产品文档。红帽客户门户网站还为 atomic 命令行界面(CLI)提供指南。
先决条件
- 您已使用 atomic install rhel7/openscap 命令,从 红帽容器目录(RHCC) 下载并安装 OpenSCAP 容器镜像。
流程
- 列出 OpenSCAP 镜像为 configuration_compliance 扫描提供的 SCAP 内容:
~]#atomic help registry.access.redhat.com/rhel7/openscap使用 Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG)策略验证最新 Red Hat Enterprise Linux 7 容器镜像合规性,并从扫描中生成 HTML 报告:~]#atomic scan--scan_typeconfiguration_compliance--scanner_argsxccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,reportregistry.access.redhat.com/rhel7:latest以上命令的输出包含有关末尾扫描关联的文件的信息:............ Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.
~]#tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606 /var/lib/atomic/openscap/2017-11-03-13-35-34-296606 ├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2 │ ├── arf.xml │ ├── fix.sh │ ├── json │ └── report.html └── environment.json 1 directory, 5 filesatomic 扫描生成含有所有结果的子目录,并从 /var/lib/atomic/openscap/ 目录中的扫描报告。每次扫描配置合规性时都会生成带有结果的 arf.xml 文件。要生成人类可读的 HTML 报告文件,请将报告子选项添加到--scanner_args选项。 - 可选: 要生成由 DISA STIG Viewer 读取的 XCCDF 结果,请将
stig-viewer子选项添加到--scanner_args选项中。结果放置在 stig.xml 中。
注意
当省略
--scanner_args 选项的 xccdf-id 子选项时,扫描程序会在所选数据流文件的第一个 XCCDF 组件中搜索配置集。有关数据流文件的详情,请参考 第 8.3.1 节 “RHEL 7 中的配置合规性”。
8.11.2. 使用 原子扫描修复容器镜像和容器的配置合规性
您可以针对原始容器镜像运行配置合规性扫描,以检查其与 DISA STIG 策略的合规性。根据扫描结果,会生成包含失败扫描结果的 bash 补救的修复脚本。然后,修复脚本会应用到原始容器镜像 - 这称为补救。补救会导致容器镜像具有更改的配置,该配置在原始容器镜像之上作为新层添加。
重要
请注意,原始容器镜像保持不变,且仅在其之上创建一个新层。补救过程会构建包含所有配置改进的新容器镜像。此层的内容由扫描的安全策略定义,在上例中是 DISA STIG 策略。这也意味着修复的容器镜像不再由红帽签名,因为它与包含修复层的原始容器镜像不同。
警告
atomic 扫描 功能已弃用,OpenSCAP 容器镜像不再使用新的安全合规内容更新。因此,首选 oscap-docker 工具用于安全合规性扫描。
先决条件
- 您已使用 atomic install rhel7/openscap 命令,从 红帽容器目录(RHCC) 下载并安装 OpenSCAP 容器镜像。
流程
- 列出 OpenSCAP 镜像为 configuration_compliance 扫描提供的 SCAP 内容:
~]#atomic help registry.access.redhat.com/rhel7/openscap - 要将容器镜像修复到指定的策略中,请在扫描配置合规性时将
--remediate选项添加到 atomic scan 命令中。以下命令构建与 Red Hat Enterprise Linux 7 容器镜像中的 DISA STIG 策略兼容的新修复的容器镜像:~]#atomic scan--remediate--scan_typeconfiguration_compliance--scanner_argsprofile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,reportregistry.access.redhat.com/rhel7:latest registry.access.redhat.com/rhel7:latest (db7a70a0414e589) The following issues were found: ............ Configure Time Service Maxpoll Interval Severity: Low XCCDF result: fail Configure LDAP Client to Use TLS For All Transactions Severity: Moderate XCCDF result: fail ............ Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll' Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls' Successfully built 9bbc7083760e Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2. Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000. - 可选: atomic scan 命令的输出报告修复的镜像 ID。要方便记住镜像,请使用一些名称进行标记,例如:
~]#dockertag9bbc7083760e rhel7_disa_stig
