8.2. RHEL Image Builder を使用したハードニング済みイメージの作成

OpenSCAP と RHEL Image Builder の統合により、特定のプロファイルに準拠したハードニング済みイメージを作成し、それを仮想マシンやベアメタル環境などにデプロイできます。

前提条件

手順

OpenSCAP ツールと scap-security-guide コンテンツを使用して、TOML 形式でハードニングブループリントを作成し、必要に応じて変更します。
```
# oscap xccdf generate fix --profile=<profileID> --fix-type=<blueprint> /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml > cis.toml
```
<profileID> は、システムが準拠する必要があるプロファイル ID (例: cis) に置き換えます。
composer-cli ツールを使用して、ブループリントを osbuild-composer にプッシュします。
```
# composer-cli blueprints push <blueprint_name>.toml
```
ハードニング済みイメージのビルドを開始します。
```
# composer-cli compose start <blueprint_name> <image_type>
```
<image_type> は、任意のイメージタイプ (例: qcow2) に置き換えます。
イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。仮想マシンの作成を参照してください｡

検証

ハードニング済みイメージをデプロイした後、設定コンプライアンススキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。

重要

設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細は、設定コンプライアンススキャンを参照してください。