6.11. 使用特定基准评估容器或容器镜像的安全性合规
您可以使用特定的安全基准评估容器或容器镜像的合规性,如操作系统保护配置文件(OSPP)、支付卡行业数据安全标准(PCI-DSS)和健康保险可移植性和责任法案(HIPAA)。
注意
oscap-podman 命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8。
先决条件
-
openscap-utils和scap-security-guide软件包已安装。 - 有对系统的 root 访问权限。
流程
查找容器或容器镜像的 ID:
-
要查找容器的 ID,请输入
podman ps -a命令。 -
要查找容器镜像的 ID,请输入
podman images命令。
-
要查找容器的 ID,请输入
使用配置集评估容器或容器镜像的合规性,并将扫描结果保存到文件中:
# oscap-podman <ID> xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml替换:
-
<ID> 带有容器或容器镜像的 ID -
<scan-report.html>,带有oscap保存扫描结果的文件名 -
<profileId> 带有系统应该遵循的配置集 ID,例如hipaa、ospp、或pci-dss
-
验证
在您选择的浏览器中检查结果,例如:
$ firefox <scan-report.html> &
注意
标记为 notapplicable 的规则仅适用于裸机和虚拟化系统,不适用于容器或容器镜像。
其它资源
-
oscap-podman(8)和scap-security-guide(8)手册页。 -
/usr/share/doc/scap-security-guide/目录。
