搜索

6.11. 使用特定基准评估容器或容器镜像的安全性合规

download PDF

您可以使用特定的安全基准评估容器或容器镜像的合规性,如操作系统保护配置文件(OSPP)、支付卡行业数据安全标准(PCI-DSS)和健康保险可移植性和责任法案(HIPAA)。

注意

oscap-podman 命令从 RHEL 8.2 开始提供。对于RHEL 8.1和8.0,请参阅 Using OpenSCAP for scanning containers in RHEL 8

先决条件

  • openscap-utilsscap-security-guide 软件包已安装。
  • 有对系统的 root 访问权限。

流程

  1. 查找容器或容器镜像的 ID:

    1. 要查找容器的 ID,请输入 podman ps -a 命令。
    2. 要查找容器镜像的 ID,请输入 podman images 命令。
  2. 使用配置集评估容器或容器镜像的合规性,并将扫描结果保存到文件中:

    # oscap-podman <ID> xccdf eval --report <scan-report.html> --profile <profileID> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

    替换:

    • &lt;ID> 带有容器或容器镜像的 ID
    • <scan-report.html >,带有 oscap 保存扫描结果的文件名
    • <profile Id> 带有系统应该遵循的配置集 ID,例如 hipaaospp、或 pci-dss

验证

  • 在您选择的浏览器中检查结果,例如:

    $ firefox <scan-report.html> &amp;
注意

标记为 notapplicable 的规则仅适用于裸机和虚拟化系统,不适用于容器或容器镜像。

其它资源

  • oscap-podman(8)scap-security-guide(8) 手册页。
  • /usr/share/doc/scap-security-guide/ 目录。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.