openscap 的 oscap 工具可以在容器上运行来扫描主机虚拟机吗?
注意:它在 RHEL 容器上运行良好(安装后)
Dockerfile
FROM registry.access.redhat.com/ubi8/ubi:latest
RUN yum -y update
RUN yum -y install -y openscap-scanner
COPY benchmark.xml benchmark.xml
答案1
理论上,它可以以某种方式工作。但我没有尝试过,也没有听说过有人以这种方式使用它。容器需要挂载挂载在某个目录中的主机文件系统。在典型的容器场景中,您通常不想这样做。然后,需要执行 oscap,并将 OSCAP_PROBE_ROOT 环境变量设置为该挂载目录的路径。OSCAP_PROBE_ROOT 环境变量用于修改扫描仪的 chroot,但它通常用于从主机扫描容器。我认为权限、功能、访问权限等会存在各种问题。