7.3. Création d'une image pré-durcie avec image builder
Grâce à l'intégration d'OpenSCAP et de l'outil de création d'images, vous pouvez créer des images pré-durcies.
Procédure
Créer un schéma directeur au format TOML, avec le contenu suivant :
name = "blueprint_name" description = "blueprint_description" version = "0.0.1" modules = [] groups = [] distro = "" [customizations] [[customizations.user]] name = "scap-security-guide" description = "Admin account" password = secure_password_hash key = ssh-key home = "/home/scap-security-guide" group = ["wheel"] [[customizations.filesystem]] mountpoint = "/tmp" size = 13107200 [customizations.openscap] datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml " profile_id = "cis"
Lance la construction d'une image OpenSCAP :
# composer-cli compose start blueprint_name qcow2
Où blueprint_name est le nom du plan.
Une fois que la construction de l'image est prête, vous pouvez utiliser votre image pré-durcie pour vos déploiements. Voir Création d'une machine virtuelle.
Vérification
Après avoir déployé votre image pré-durcie dans une VM, vous pouvez effectuer une analyse de conformité de la configuration pour vérifier que l'image est alignée sur le profil de sécurité sélectionné.
L'exécution d'une analyse de conformité de la configuration ne garantit pas la conformité du système. Pour plus d'informations, voir Analyse de la conformité de la configuration.
- Connectez-vous à l'image en utilisant SSH.
Lancez le scanner
oscap
.# scap-workbench
- Sélectionnez la version du système que vous souhaitez analyser. Cliquez sur .
- Sélectionnez le profil à analyser et cliquez sur . OpenSCAP vérifie toutes les exigences du système.
Une fois l'analyse terminée, cliquez sur
.Les résultats montrent que le système est sûr.
Ressources supplémentaires