主页
产品
Red Hat Enterprise Linux
7
安全指南
8.11. 使用原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性

8.11. 使用原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性

8.11.1. 使用原子扫描扫描来扫描容器镜像和容器的配置合规性
复制链接

使用这种类型的扫描来评估基于 Red Hat Enterprise Linux 的容器镜像和容器，以及 SCAP 安全指南(SSG)在 OpenSCAP 容器镜像中提供的 SCAP 内容。这可启用对 SCAP 安全指南提供的任何配置集进行扫描。

警告

atomic 扫描 功能已弃用，OpenSCAP 容器镜像不再使用新的安全合规内容更新。因此，首选 oscap-docker 工具用于安全合规性扫描。

注意

有关使用 atomic 命令和容器的详情，请查看 Red Hat Enterprise Linux Atomic Host 7 产品文档。红帽客户门户网站还为 atomic 命令行界面(CLI)提供指南。

先决条件

已使用 atomic install rhel7/openscap 命令从红帽容器目录(RHCC) 下载并安装 OpenSCAP 容器镜像。

流程

列出 OpenSCAP 镜像为 configuration_compliance 扫描提供的 SCAP 内容：

atomic help registry.access.redhat.com/rhel7/openscap

~]# atomic help registry.access.redhat.com/rhel7/openscap

Copy to Clipboard

Toggle word wrap

使用 Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG)策略验证最新 Red Hat Enterprise Linux 7 容器镜像合规性，并从扫描中生成 HTML 报告：

atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest

~]# atomic scan --scan_type configuration_compliance --scanner_args xccdf-id=scap_org.open-scap_cref_ssg-rhel7-xccdf-1.2.xml,profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest

Copy to Clipboard

Toggle word wrap

以上命令的输出包含有关末尾扫描关联的文件的信息：

............

Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.

~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
/var/lib/atomic/openscap/2017-11-03-13-35-34-296606
├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
│   ├── arf.xml
│   ├── fix.sh
│   ├── json
│   └── report.html
└── environment.json

1 directory, 5 files

............

Files associated with this scan are in /var/lib/atomic/openscap/2017-11-03-13-35-34-296606.

~]# tree /var/lib/atomic/openscap/2017-11-03-13-35-34-296606
/var/lib/atomic/openscap/2017-11-03-13-35-34-296606
├── db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2
│   ├── arf.xml
│   ├── fix.sh
│   ├── json
│   └── report.html
└── environment.json

1 directory, 5 files

Copy to Clipboard

Toggle word wrap

atomic 扫描生成含有所有结果的子目录，并从 /var/lib/atomic/openscap/ 目录中的扫描报告。每次扫描配置合规性时都会生成带有结果的 arf.xml 文件。要生成人类可读的 HTML 报告文件，请将 报告 子选项添加到 --scanner_args 选项。

可选：要生成由 DISA STIG Viewer 读取的 XCCDF 结果，请将 stig-viewer 子选项添加到 --scanner_args 选项中。结果放置在 stig.xml 中。

注意

当省略 --scanner_args 选项的 xccdf-id 子选项时，扫描程序会在所选数据流文件的第一个 XCCDF 组件中搜索配置集。有关数据流文件的详情，请参考第 8.3.1 节 “RHEL 7 中的配置合规性”。

8.11.2. 使用原子扫描修复容器镜像和容器的配置合规性
复制链接

您可以针对原始容器镜像运行配置合规性扫描，以检查其与 DISA STIG 策略的合规性。根据扫描结果，会生成包含失败扫描结果的 bash 补救的修复脚本。然后，修复脚本会应用到原始容器镜像 - 这称为补救。补救会导致容器镜像具有更改的配置，该配置在原始容器镜像之上作为新层添加。

重要

请注意，原始容器镜像保持不变，且仅在其之上创建一个新层。补救过程会构建包含所有配置改进的新容器镜像。此层的内容由扫描的安全策略定义，在上例中是 DISA STIG 策略。这也意味着修复的容器镜像不再由红帽签名，因为它与包含修复层的原始容器镜像不同。

警告

atomic 扫描 功能已弃用，OpenSCAP 容器镜像不再使用新的安全合规内容更新。因此，首选 oscap-docker 工具用于安全合规性扫描。

先决条件

已使用 atomic install rhel7/openscap 命令从红帽容器目录(RHCC) 下载并安装 OpenSCAP 容器镜像。

流程

列出 OpenSCAP 镜像为 configuration_compliance 扫描提供的 SCAP 内容：
```
atomic help registry.access.redhat.com/rhel7/openscap
```
```
~]# atomic help registry.access.redhat.com/rhel7/openscap
```
Copy to Clipboard Toggle word wrap

要将容器镜像修复到指定的策略中，请在扫描配置合规性时将 --remediate 选项添加到 atomic scan 命令中。以下命令构建与 Red Hat Enterprise Linux 7 容器镜像中的 DISA STIG 策略兼容的新修复的容器镜像：

atomic scan --remediate --scan_type configuration_compliance --scanner_args profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest

~]# atomic scan --remediate --scan_type configuration_compliance --scanner_args profile=xccdf_org.ssgproject.content_profile_stig-rhel7-disa,report registry.access.redhat.com/rhel7:latest 

registry.access.redhat.com/rhel7:latest (db7a70a0414e589)

The following issues were found:
............
	 Configure Time Service Maxpoll Interval
	 Severity: Low
		 XCCDF result: fail

	 Configure LDAP Client to Use TLS For All Transactions
	 Severity: Moderate
		 XCCDF result: fail
............
Remediating rule 43/44: 'xccdf_org.ssgproject.content_rule_chronyd_or_ntpd_set_maxpoll'
Remediating rule 44/44: 'xccdf_org.ssgproject.content_rule_ldap_client_start_tls'

Successfully built 9bbc7083760e
Successfully built remediated image 9bbc7083760e from db7a70a0414e589d7c8c162712b329d4fc670fa47ddde721250fb9fcdbed9cc2.

Files associated with this scan are in /var/lib/atomic/openscap/2017-11-06-13-01-42-785000.

Copy to Clipboard

Toggle word wrap

可选： atomic scan 命令的输出报告修复的镜像 ID。要方便记住镜像，请使用一些名称进行标记，例如：
```
docker tag 9bbc7083760e rhel7_disa_stig
```
```
~]# docker tag 9bbc7083760e rhel7_disa_stig 
```
Copy to Clipboard Toggle word wrap

返回顶部

8.11. 使用原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性

8.11.1. 使用原子扫描扫描来扫描容器镜像和容器的配置合规性
复制链接

8.11.2. 使用原子扫描修复容器镜像和容器的配置合规性
复制链接

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.11. 使用 原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性

8.11.1. 使用 原子扫描扫描来扫描容器镜像和容器的配置合规性复制链接链接已复制到粘贴板!

8.11.2. 使用 原子扫描修复容器镜像和容器的配置合规性复制链接链接已复制到粘贴板!

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

8.11. 使用原子扫描扫描对容器镜像和容器进行扫描和补救配置合规性

8.11.1. 使用原子扫描扫描来扫描容器镜像和容器的配置合规性
复制链接

8.11.2. 使用原子扫描修复容器镜像和容器的配置合规性
复制链接