Red Hat Summit第8章 RHEL Image Builder OpenSCAP 統合によるハードニング済みイメージの作成
オンプレミスの RHEL Image Builder は OpenSCAP 統合をサポートしています。この統合により、ハードニング済みの RHEL イメージの作成が可能になります。
ブループリントを設定すると、次のアクションを実行できます。
- 事前定義されたセキュリティープロファイルのセットを使用したカスタマイズ
- パッケージまたはアドオンファイルのセットの追加
- 環境により適した、選択したプラットフォームにデプロイ可能なカスタム RHEL イメージのビルド
Red Hat は、現在のデプロイメントガイドラインを満たすことができるように、システムを構築するときに選択できるセキュリティーハードニングプロファイルの定期的に更新されたバージョンを提供します。
8.1. OpenSCAP ブループリントのカスタマイズ
OpenSCAP によるブループリントのカスタマイズのサポートにより、特定のセキュリティープロファイルの scap-security-guide コンテンツからブループリントを生成し、そのブループリントを使用して独自のハードニング済みイメージをビルドできます。
OpenSCAP を使用してカスタマイズしたブループリントを作成するには、次の主な手順を実行します。
- 特定の要件に応じてマウントポイントを変更し、ファイルシステムレイアウトを設定します。
-
ブループリントで、OpenSCAP プロファイルを選択します。これにより、選択したプロファイルに従って、イメージのビルド中に修復をトリガーするようにイメージが設定されます。また、イメージのビルド中に、OpenSCAP が
pre-first-boot(初回起動前) の修復を適用します。
イメージブループリントで OpenSCAP ブループリントのカスタマイズを使用するには、次の情報を提供する必要があります。
-
datastream修復手順へのデータストリームパス。scap-security-guideパッケージのデータストリームファイルは、/usr/share/xml/scap/ssg/content/ディレクトリーにあります。 -
必要なセキュリティープロファイルの
profile_id。profile_idフィールドの値は、長い形式と短い形式の両方を受け入れます。たとえば、cisやxccdf_org.ssgproject.content_profile_cisを受け入れることができます。詳細は、RHEL 10 でサポートされている SCAP Security Guide プロファイル を参照してください。
次の例は、OpenSCAP 修復ステージのスニペットです。
[customizations.openscap]
# If you want to use the data stream from the 'scap-security-guide' package
# the 'datastream' key could be omitted.
# datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml"
profile_id = "xccdf_org.ssgproject.content_profile_cis"
次のコマンドを使用すると、scap-security-guide パッケージの SCAP ソースデータストリームの詳細 (データストリームによって提供されるセキュリティープロファイルのリストを含む) を確認できます。
# oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
ユーザーの便宜のために、OpenSCAP ツールでは、scap-security-guide データストリームで利用可能な任意のプロファイルのハードニングブループリントを生成できます。
たとえば、次のコマンドを実行します。
# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml次の例のような CIS プロファイルのブループリントを生成します。
# Blueprint for CIS Red Hat Enterprise Linux 10.0 Benchmark for Level 2 - Server
# Profile Description:
# This profile defines a baseline that aligns to the "Level 2 - Server"
# configuration from the Center for Internet Security® Red Hat Enterprise
# Linux 10 Benchmark™, v3.0.0, released 2023-10-30.
# This profile includes Center for Internet Security®
# Red Hat Enterprise Linux 10.0 CIS Benchmarks™ content.
#
# Profile ID: xccdf_org.ssgproject.content_profile_cis
# Benchmark ID: xccdf_org.ssgproject.content_benchmark_RHEL-10.0
# Benchmark Version: 0.1.74
# XCCDF Version: 1.2
name = "hardened_xccdf_org.ssgproject.content_profile_cis"
description = "CIS Red Hat Enterprise Linux 10.0 Benchmark for Level 2 - Server"
version = "0.1.74"
[customizations.openscap]
profile_id = "xccdf_org.ssgproject.content_profile_cis"
# If your hardening data stream is not part of the 'scap-security-guide' package
# provide the absolute path to it (from the root of the image filesystem).
# datastream = "/usr/share/xml/scap/ssg/content/ssg-xxxxx-ds.xml"
[[customizations.filesystem]]
mountpoint = "/home"
size = 1073741824
[[customizations.filesystem]]
mountpoint = "/tmp"
size = 1073741824
[[customizations.filesystem]]
mountpoint = "/var"
size = 3221225472
[[customizations.filesystem]]
mountpoint = "/var/tmp"
size = 1073741824
[[packages]]
name = "aide"
version = "*"
[[packages]]
name = "libselinux"
version = "*"
[[packages]]
name = "audit"
version = "*"
[customizations.kernel]
append = "audit_backlog_limit=8192 audit=1"
[customizations.services]
enabled = ["auditd","crond","firewalld","systemd-journald","rsyslog"]
disabled = []
masked = ["nfs-server","rpcbind","autofs","bluetooth","nftables"]
このブループリントスニペットは、イメージのハードニングにそのまま使用しないでください。完全なプロファイルを反映するものではありません。Red Hat は scap-security-guide パッケージ内の各プロファイルのセキュリティー要件を継続的に更新および改良しています。そのため、システムに提供されるデータストリームの最新バージョンを使用して初期テンプレートを常に再生成することを推奨します。
これで、ブループリントをカスタマイズすることも、そのまま使用してイメージをビルドすることもできます。
RHEL Image Builder は、ブループリントのカスタマイズに基づいて、ステージに必要な設定を生成します。さらに、RHEL Image Builder は 2 つのパッケージをイメージに追加します。
-
openscap-scannerはOpenSCAPツールです。 scap-security-guideは、修復および評価の手順が含まれているパッケージです。注記修復ステージでは、データストリームに
scap-security-guideパッケージが使用されます。このパッケージはデフォルトでイメージにインストールされているためです。別のデータストリームを使用する場合は、必要なパッケージをブループリントに追加し、oscap設定でデータストリームへのパスを指定してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}