Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

8.3. RHEL Image Builder を使用したハードニング済みイメージのカスタマイズ

ルールを変更、削除、または選択することで、内部ポリシーを適用するためにセキュリティープロファイル (たとえばパスワード長) をカスタマイズできます。プロファイルをカスタマイズして新しいルールを定義することはできません。

ブループリントからイメージを作成すると、テーラリングファイルが作成され、新しいテーラリングプロファイル ID とともに /usr/share/xml/oscap-tailoring/tailoring.xml に保存されます。新しいプロファイル ID には、ベースプロファイルのサフィックスとして tailoring が追加されます。たとえば、Center for Internet Security (CIS) (cis) のベースプロファイルを使用する場合、プロファイル ID は xccdf_org.ssgproject.content_profile_cis_tailoring です。

前提条件

  • root ユーザーまたは weldr グループのメンバーであるユーザーとしてログインしている。
  • openscap および scap-security-guide パッケージがインストールされている。

手順

  1. 選択したプロファイルから TOML 形式でハードニングブループリントを作成します。以下に例を示します。 

    # oscap xccdf generate fix --profile=<profileID> --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml > <profileID>tailored.toml

  2. カスタマイズしたルールセットを含むテーラリングセクションをブループリントに追加します。テーラリングによるカスタマイズは、ベースプロファイル内のルールがデフォルトで選択または非選択のどちらになっているかにのみ影響し、他のルールの状態を変更することはありません。 

    # Blueprint for CIS Red Hat Enterprise Linux 10.0 Benchmark for Level 2 - Server
# ...
[customizations.openscap.tailoring]
selected = [ "xccdf_org.ssgproject.content_bind_crypto_policy" ]
unselected = [ "grub2_password" ]

  3. ハードニング済みイメージのビルドを開始します。 

    # *image-builder build <image_type> --blueprint <blueprintProfileID> *

    <image_type> は、任意のイメージタイプ (例: qcow2) に置き換えます。

    イメージのビルドが準備できたら、デプロイメントでハードニング済みイメージを使用します。

検証

ハードニング済みイメージをデプロイした後、設定コンプライアンススキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。

重要

設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細は、設定コンプライアンススキャン を参照してください。

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る