oscap-chroot und CentOS 7 basierte Docker Container
oscap-docker will nur RHEL container prüfen. Mit oscap-chroot kann man aber eine beliebige Chroot-Umgebung prüfen.
Mit dem atomic mount Befehl kann ich einfach einen Container oder ein Image mounten.
Die OVAL Files von RHEL passen eigentlich auf CentOS - bedürfen aber einer kleinen Modifikation:
dnf install openscap-utils atomic curl
curl --silent https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2 | \
bunzip2 - | \
sed 's/redhat-release-server/centos-release/g;s/199e2f91fd431d51/24c6a8a7f4a80eb5/g;s/7\[\^\\d\]/7\$/g' \
>/tmp/com.redhat.rhsa-CENTOS7.xml
atomic mount $centos-7-image-oder-container-id /mnt
oscap-chroot /mnt oval eval --report /tmp/report.html --results /tmp/results.xml /tmp/com.redhat.rhsa-CENTOS7.xml
Mit dem atomic mount Befehl kann ich einfach einen Container oder ein Image mounten.
Die OVAL Files von RHEL passen eigentlich auf CentOS - bedürfen aber einer kleinen Modifikation:
- RPM GPG Signing Key ist ein anderer
- Release Package ist centos-release und
- die Version von centos-release ist einfach 7 und nicht 7.x
Howto
dnf install openscap-utils atomic curl
curl --silent https://www.redhat.com/security/data/oval/com.redhat.rhsa-RHEL7.xml.bz2 | \
bunzip2 - | \
sed 's/redhat-release-server/centos-release/g;s/199e2f91fd431d51/24c6a8a7f4a80eb5/g;s/7\[\^\\d\]/7\$/g' \
>/tmp/com.redhat.rhsa-CENTOS7.xml
atomic mount $centos-7-image-oder-container-id /mnt
oscap-chroot /mnt oval eval --report /tmp/report.html --results /tmp/results.xml /tmp/com.redhat.rhsa-CENTOS7.xml
