7.5. プロファイルのカスタマイズ済み調整オプションをブループリントに追加する
OpenSCAP
と RHEL イメージビルダーの統合により、次のオプションを使用して、プロファイルのカスタマイズ済み調整オプションをブループリントのカスタマイズに追加できます。
-
selected
: 追加するルールのリストに使用します。 -
unselected
: 削除するルールのリストに使用します。
デフォルトの org.ssgproject.content
ルールの名前空間の場合、この名前空間にあるルールの接頭辞を省略できます。たとえば、org.ssgproject.content_grub2_password
と grub2_password
は機能的に同等です。
そのブループリントからイメージをビルドすると、新しいテーラリングプロファイル ID を持つテーラリングファイルが作成され、/usr/share/xml/osbuild-oscap-tailoring/tailoring.xml
としてイメージに保存されます。新しいプロファイル ID には、ベースプロファイルの接尾辞として _osbuild_tailoring
が追加されます。たとえば、CIS (cis
) ベースプロファイルを使用する場合、プロファイル ID は xccdf_org.ssgproject.content_profile_cis_osbuild_tailoring
になります。
前提条件
-
root ユーザーまたは
welder
グループのメンバーであるユーザーとしてログインしている。
手順
OpenSCAP
ツールとscap-security-guide
コンテンツを使用して、TOML 形式でハードニングブループリントを作成し、必要に応じて変更します。# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis_tailored.toml
カスタマイズしたルールセットを含む調整セクションをブループリントに追加します。
# Blueprint for CIS Red Hat Enterprise Linux {ProductNumber} Benchmark for Level 2 - Server # ... [customizations.openscap.tailoring] selected = [ "xccdf_org.ssgproject.content_bind_crypto_policy" ] unselected = [ "grub2_password" ]
composer-cli
ツールを使用して、ブループリントをosbuild-composer
にプッシュします。# composer-cli blueprints push cis_tailored.toml
ハードニング済みイメージのビルドを開始します。
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2
イメージのビルドが準備できたら、デプロイメントでハードニング済みイメージを使用して仮想マシンを作成します。詳細は、仮想マシンの作成 を参照してください。
ハードニング済みイメージを仮想マシンにデプロイした後、設定コンプライアンスのスキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。
重要設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細については、設定コンプライアンススキャン を参照してください。
検証
ハードニング済みイメージをデプロイした仮想マシンで、次の手順を実行します。
-
SSH
を使用して仮想マシンに接続します。 oscap
スキャナーを実行します。# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml
-
compliance-report.html
を取得し、結果を検査します。