7.2. La personnalisation du modèle OpenSCAP
Grâce à la prise en charge de la personnalisation des plans par OpenSCAP, vous pouvez créer des plans et les utiliser pour créer vos propres images pré-durcies. Pour créer une image pré-durcie, vous pouvez personnaliser les points de montage et configurer la disposition du système de fichiers en fonction du profil de sécurité sélectionné. Pendant la construction de l'image, OpenSCAP applique une remédiation au premier démarrage.
Après avoir sélectionné le profil OpenSCAP, la personnalisation du plan directeur OpenSCAP configure l'image pour déclencher la remédiation pendant la construction de l'image avec le profil sélectionné.
Pour utiliser la personnalisation du plan OpenSCAP dans vos plans d'image, entrez les informations suivantes :
-
Le chemin du flux de données vers les instructions de remédiation de
datastream
. Vous pouvez le trouver dans le répertoire/usr/share/xml/scap/ssg/content/
. Le
profile_id
du profil de sécurité requis. Le champprofile_id
accepte à la fois la forme longue et la forme courte, par exemple :cis
ouxccdf_org.ssgproject.content_profile_cis
. Pour plus de détails, voir les profils du Guide de sécurité SCAP pris en charge par RHEL 9.Le schéma suivant est un exemple de personnalisation d'OpenSCAP :
[customizations] [customizations.openscap] datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml" profile_id = "xccdf_org.ssgproject.content_profile_cis"
Le type de fichier SCAP le plus courant est un flux de données source SCAP. Pour afficher les détails du flux de données source SCAP à partir du paquetage
scap-security-guide
, entrez la commande :$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
L'outil
oscap
s'exécute sur l'arborescence de l'image pour effectuer une analyse hors ligne d'un système de fichiers monté sur un chemin arbitraire. Vous pouvez l'utiliser pour l'analyse d'objets personnalisés qui ne sont pas pris en charge paroscap-docker
ouoscap-vm
, tels que les conteneurs dans des formats autres que Docker.oscap-chroot
imite l'utilisation et les options de l'outiloscap
.Image builder génère les configurations nécessaires pour l'étape
osbuild
sur la base des personnalisations de votre plan. En outre, le constructeur d'images ajoute deux paquets à l'image :-
openscap-scanner
- l'outilOpenSCAP
. scap-security-guide
- qui contient les instructions de remédiation.NoteL'étape de remédiation utilise le paquetage
scap-security-guide
pour le flux de données car ce paquetage est installé par défaut sur l'image. Si vous souhaitez utiliser un flux de données différent, ajoutez le paquetage nécessaire au blueprint et indiquez le chemin d'accès au flux de données dans la configurationoscap
.
Ressources supplémentaires