6.11. 使用特定基准评估容器或容器镜像的安全性合规
您可以使用特定的安全基准评估容器或容器镜像的合规性,如 Operating System Protection Profile(OSPP)、Payment Card Industry Data Security Standard(PCI-DSS)和 Health Insurance Portability and Accountability Act(HIPAA)。
前提条件
-
openscap-utils和scap-security-guide软件包已安装。 - 有对系统的 root 访问权限。
流程
查找容器或容器镜像的 ID:
-
要查找容器的 ID,请输入
podman ps -a命令。 -
要查找容器镜像的 ID,请输入
podman images命令。
-
要查找容器的 ID,请输入
使用配置集评估容器或容器镜像的合规性,并将扫描结果保存到文件中:
# oscap-podman <ID> xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml替换:
-
<ID> 带有容器或容器镜像的 ID -
使用
oscap保存扫描结果的文件名替换<scan-report.html> -
<profileId> 带有系统应该遵循的配置集 ID,例如hipaa、ospp、或pci-dss
-
验证
在您选择的浏览器中检查结果,例如:
$ firefox <scan-report.html> &
注意
标记为 notapplicable 的规则仅适用于裸机和虚拟化系统,不适用于容器或容器镜像。
其他资源
-
oscap-podman(8)和scap-security-guide(8)手册页。 -
/usr/share/doc/scap-security-guide/目录。
