7.4. RHEL Image Builder を使用したハードニング済みイメージの作成
OpenSCAP と RHEL Image Builder の統合により、仮想マシンでデプロイ可能なハードニング済みイメージを作成できます。
前提条件
-
root ユーザーまたは
welder
グループのメンバーであるユーザーとしてログインしている。
手順
OpenSCAP
ツールとscap-security-guide
コンテンツを使用して、TOML 形式でハードニングブループリントを作成し、必要に応じて変更します。# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis.toml
composer-cli
ツールを使用して、ブループリントをosbuild-composer
にプッシュします。# composer-cli blueprints push cis.toml
ハードニング済みイメージのビルドを開始します。
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2
イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。仮想マシンの作成 を参照してください。
検証
ハードニング済みイメージを仮想マシンにデプロイした後、設定コンプライアンスのスキャンを実行して、イメージが選択したセキュリティープロファイルに準拠していることを確認できます。
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細については、設定コンプライアンススキャン を参照してください。
-
SSH
を使用して仮想マシンに接続します。 oscap
スキャナーを実行します。# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml
-
compliance-report.html
を取得し、結果を検査します。