Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

7.2. La personnalisation du modèle OpenSCAP

download PDF

Grâce à la prise en charge de la personnalisation des plans par OpenSCAP, vous pouvez créer des plans et les utiliser pour créer vos propres images pré-durcies. Pour créer une image pré-durcie, vous pouvez personnaliser les points de montage et configurer la disposition du système de fichiers en fonction du profil de sécurité sélectionné. Pendant la construction de l'image, OpenSCAP applique une remédiation au premier démarrage.

Après avoir sélectionné le profil OpenSCAP, la personnalisation du plan directeur OpenSCAP configure l'image pour déclencher la remédiation pendant la construction de l'image avec le profil sélectionné.

Pour utiliser la personnalisation du plan OpenSCAP dans vos plans d'image, entrez les informations suivantes :

  • Le chemin du flux de données vers les instructions de remédiation de datastream. Vous pouvez le trouver dans le répertoire /usr/share/xml/scap/ssg/content/.

  • Le profile_id du profil de sécurité requis. Le champ profile_id accepte à la fois la forme longue et la forme courte, par exemple : cis ou xccdf_org.ssgproject.content_profile_cis. Pour plus de détails, voir les profils du Guide de sécurité SCAP pris en charge par RHEL 9.

    Le schéma suivant est un exemple de personnalisation d'OpenSCAP : 

    [customizations]
[customizations.openscap]
datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml"
profile_id = "xccdf_org.ssgproject.content_profile_cis"

    Le type de fichier SCAP le plus courant est un flux de données source SCAP. Pour afficher les détails du flux de données source SCAP à partir du paquetage scap-security-guide, entrez la commande : 

    $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

    L'outil oscap s'exécute sur l'arborescence de l'image pour effectuer une analyse hors ligne d'un système de fichiers monté sur un chemin arbitraire. Vous pouvez l'utiliser pour l'analyse d'objets personnalisés qui ne sont pas pris en charge par oscap-docker ou oscap-vm, tels que les conteneurs dans des formats autres que Docker. oscap-chroot imite l'utilisation et les options de l'outil oscap.

    Image builder génère les configurations nécessaires pour l'étape osbuild sur la base des personnalisations de votre plan. En outre, le constructeur d'images ajoute deux paquets à l'image :

  • openscap-scanner - l'outil OpenSCAP.

  • scap-security-guide - qui contient les instructions de remédiation.

    Note

    L'étape de remédiation utilise le paquetage scap-security-guide pour le flux de données car ce paquetage est installé par défaut sur l'image. Si vous souhaitez utiliser un flux de données différent, ajoutez le paquetage nécessaire au blueprint et indiquez le chemin d'accès au flux de données dans la configuration oscap.

Ressources supplémentaires

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.