oscap-chroot und CentOS 7 basierte Docker Container
oscap-docker will nur RHEL container prüfen. Mit oscap-chroot kann man aber eine beliebige Chroot-Umgebung prüfen. Mit dem atomic mount Befehl kann ich einfach einen Container oder ein Image mounten. Die OVAL Files von RHEL passen eigentlich auf CentOS - bedürfen aber einer kleinen Modifikation: RPM GPG Signing Key ist ein anderer Release Package ist centos-release und die Version von centos-release ist einfach 7 und nicht 7.x Howto dnf install openscap-utils atomic curl curl --silent https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2 | \ bunzip2 - | \ sed 's/redhat-release-server/centos-release/g;s/199e2f91fd431d51/24c6a8a7f4a80eb5/g;s/7\[\^\\d\]/7\$/g' \ >/tmp/com.redhat.rhsa-CENTOS7.xml atomic mount $centos-7-image-oder-container-id /mnt oscap-chroot /mnt oval eval --report /tmp/report.html --results /tmp/results.xml /tmp/com.redhat.rhsa-CENTOS7.xml