Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

9장. 부팅 가능한 이미지의 보안 강화 및 컴플라이언스

RHEL의 이미지 모드는 보안 규정 준수 기능을 제공하고 규정 준수 구성이 필요한 워크로드를 지원합니다. 그러나 시스템 강화 및 규정 준수 상태를 확인하는 프로세스는 패키지 모드와 다릅니다.

RHEL에 이미지 모드를 사용하는 주요 부분은 부팅 가능한 컨테이너 이미지를 생성하는 것입니다. 배포된 시스템은 이미지를 미러링합니다. 따라서 빌드 이미지에는 보안 정책에 필요한 모든 패키지 및 구성 설정이 포함되어야 합니다.

중요

부팅 가능한 이미지가 컨테이너로 실행되면 일부 강화 구성이 적용되지 않습니다. 보안 프로필에 따라 완전히 구성된 시스템을 가져오려면 컨테이너로 실행하는 대신 베어 메탈 또는 가상 머신에서 이미지를 부팅해야 합니다. 컨테이너 배포의 주요 차이점은 다음과 같습니다.

  • systemd가 컨테이너에서 실행되지 않기 때문에 보안 프로필에 필요한 systemd 서비스는 컨테이너에서 실행되지 않습니다. 따라서 컨테이너는 관련 정책 요구 사항을 준수할 수 없습니다.
  • 다른 서비스는 올바르게 구성되어 있지만 컨테이너에서 실행할 수 없습니다. 즉, oscap 은 실행 중이 아니어도 올바르게 구성된 것으로 보고합니다.
  • 규정 준수 프로필에 의해 정의된 구성은 강제 적용되지 않습니다. 다른 패키지 또는 설치 사전 스크립트의 요청은 규정 준수 상태를 변경할 수 있습니다. 항상 설치된 제품의 규정 준수를 확인하고 요구 사항에 맞게 Containerfile을 변경합니다.

9.1. 강화된 부팅 이미지 빌드
링크 복사

부팅 가능한 컨테이너 이미지를 빌드하는 데 사용하는 Containerfileoscap-im 툴을 포함하여 강화된 부팅 가능한 이미지를 더 쉽게 빌드할 수 있습니다.

oscap-im 은 모든 SCAP 콘텐츠를 사용할 수 있지만 scap-security-guide 에 제공된 SCAP 소스 데이터 스트림은 부팅 가능한 컨테이너와 호환되도록 특별히 조정 및 테스트됩니다.

사전 요구 사항

  • container-tools meta-package가 설치되어 있습니다.
  • 시스템이 준수해야 하는 기준 내에서 프로필의 ID를 알고 있습니다. ID를 찾으려면 구성 규정 준수에 대한 프로필 보기 섹션을 참조하십시오.

프로세스

  1. 컨테이너 파일을 생성합니다. 

    FROM registry.redhat.io/rhel10/rhel-bootc:latest

# Install OpenSCAP scanner and security content to the image
RUN dnf install -y openscap-utils scap-security-guide && dnf clean all

# Run scan and hardening
RUN oscap-im --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

# Because certain profiles prevent ssh root logins, add a separate sudo user with a password
# Alternatively, you can add users with Kickstart, cloud-init, or other methods
RUN useradd -G wheel -p "<password_hash>" <admin_user>

    & lt;admin_user >를 사용자 이름으로 바꾸고 < password_hash >를 선택한 암호의 해시로 바꿉니다.

    Containerfile 은 다음 작업을 수행합니다.

    • oscap-im 툴 및 SCAP(Security Content Automation Protocol) 콘텐츠가 포함된 데이터 스트림을 제공하는 openscap- utils 패키지를 설치합니다.
    • SSH root 로그인을 방지하는 프로필에 대한 sudoer 권한이 있는 사용자를 추가합니다.
    • 선택한 프로필을 준수하는 이미지를 스캔하고 해결합니다.

  2. 현재 디렉터리에서 Containerfile 을 사용하여 이미지를 빌드합니다. 

    $ podman build -t quay.io/<namespace>/<image>:<tag> .

검증

  • 모든 이미지를 나열합니다. 

    $ podman images
REPOSITORY                                  TAG      IMAGE ID       CREATED              SIZE
quay.io/<namespace>/<image>                 <tag>   b28cd00741b3   About a minute ago   2.1 GB

다음 단계

  • 일반 부팅 가능한 이미지 배포 방법을 사용하여 강화된 부팅 가능한 이미지를 배포할 수 있습니다. 자세한 내용은 RHEL bootc 이미지 배포를 참조하십시오.

    그러나 배포 방법은 대상 시스템의 규정 준수 상태에 영향을 미칠 수 있습니다.

  • RHEL 패키지 모드 RHEL에서와 동일한 구문 및 사용법을 사용하여 이미지 모드 RHEL에서 실행 중인 시스템의 규정 준수를 확인할 수 있습니다. 자세한 내용은 구성 규정 준수 검사에서 참조하십시오.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동