8.2. RHEL Image Builder を使用したハードニング済みイメージの作成

オンプレミス環境で RHEL Image Builder を使用して、OpenSCAP 統合をサポートする、事前にハードニングされた RHEL イメージを作成します。

ブループリントを設定すると、次のアクションを実行できます。

前提条件

手順

OpenSCAP ツールと scap-security-guide コンテンツを使用して、Tom’s Obvious Minimal Language (TOML) 形式でハードニングブループリントを作成し、必要に応じて変更します。
```
# oscap xccdf generate fix --profile=<profileID> --fix-type=<blueprint> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml > cis.toml
```
<profileID> は、システムが準拠する必要があるプロファイル ID (例: cis) に置き換えます。
ハードニング済みイメージのビルドを開始します。
```
# image-builder build <image_type> --blueprint <blueprint_name>
```
<image_type> は、任意のイメージタイプ (例: qcow2) に置き換えます。
イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。Kernel-based Virtual Machine (KVM) ゲストイメージからの仮想マシンの作成を参照してください。

検証

ハードニング済みイメージをデプロイした後、設定コンプライアンススキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。

重要

設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細は、設定コンプライアンススキャンを参照してください。