8.4. RHEL Image Builder を使用したハードニング済みイメージの作成
OpenSCAP と RHEL Image Builder の統合により、仮想マシンでデプロイ可能なハードニング済みイメージを作成できます。
前提条件
-
root ユーザーまたは
welderグループのメンバーであるユーザーとしてログインしている。
手順
OpenSCAPツールとscap-security-guideコンテンツを使用して、TOML 形式でハードニングブループリントを作成し、必要に応じて変更します。# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis.tomlcomposer-cliツールを使用して、ブループリントをosbuild-composerにプッシュします。# composer-cli blueprints push cis.tomlハードニング済みイメージのビルドを開始します。
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。仮想マシンの作成 を参照してください。
検証
ハードニング済みイメージを仮想マシンにデプロイした後、設定コンプライアンスのスキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。
重要
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細については、設定コンプライアンススキャン を参照してください。
-
SSHを使用して仮想マシンに接続します。 oscapスキャナーを実行します。# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml-
compliance-report.htmlを取得し、結果を検査します。
