Red Hat Summit8.2. RHEL Image Builder を使用したハードニング済みイメージの作成
OpenSCAP と RHEL Image Builder の統合により、特定のプロファイルに準拠したハードニング済みイメージを作成し、それを仮想マシンやベアメタル環境などにデプロイできます。
前提条件
-
root ユーザーまたは
weldrグループのメンバーであるユーザーとしてログインしている。 -
openscapおよびscap-security-guideパッケージがインストールされている。
手順
OpenSCAPツールとscap-security-guideコンテンツを使用して、TOML 形式でハードニングブループリントを作成し、必要に応じて変更します。# oscap xccdf generate fix --profile=<profileID> --fix-type=<blueprint_name>.toml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml > cis.toml<profileID>は、システムが準拠する必要があるプロファイル ID (例:cis) に置き換えます。composer-cliツールを使用して、ブループリントをosbuild-composerにプッシュします。# composer-cli blueprints push <blueprint_name>.tomlハードニング済みイメージのビルドを開始します。
# composer-cli compose start <blueprint_name> <image_type><image_type>は、任意のイメージタイプ (例:qcow2) に置き換えます。イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。仮想マシンの作成 を参照してください。
検証
ハードニング済みイメージをデプロイした後、設定コンプライアンススキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。
重要
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細は、設定コンプライアンススキャン を参照してください。
