7.5. 프로필의 사용자 지정 맞춤 옵션 블루프린트에 추가
OpenSCAP
및 RHEL 이미지 빌더 통합을 사용하면 다음 옵션을 사용하여 프로필의 사용자 지정 맞춤 옵션을 블루프린트 사용자 지정에 추가할 수 있습니다.
-
추가할 규칙 목록에 대해 선택합니다.
-
제거할 규칙 목록에 대해
선택되지
않음
기본 org.ssgproject.content
규칙 네임스페이스를 사용하면 이 네임스페이스에서 규칙의 접두사를 생략할 수 있습니다. 예를 들어 org.ssgproject.content_grub2_password
및 grub2_password
는 기능적으로 동일합니다.
해당 블루프린트에서 이미지를 빌드할 때 새 맞춤 프로필 ID를 사용하여 맞춤형 파일을 생성하여 이미지에 /usr/share/xml/osbuild-oscap-tailoring/tailoring.xml
으로 저장합니다. 새 프로필 ID에는 기본 프로필에 접미사로 추가된 _osbuild_tailoring
이 있습니다. 예를 들어 CIS(cis
) 기본 프로필을 사용하는 경우 프로필 ID는 xccdf_org.ssgproject.content_profile_cis_osbuild_tailoring
이 됩니다.
사전 요구 사항
-
root 사용자 또는
welder
그룹의 멤버인 사용자로 로그인되어 있습니다.
절차
OpenSCAP
툴 및scap-security-guide
콘텐츠를 사용하여 TOML 형식으로 강화 블루프린트를 생성하고 필요한 경우 수정합니다.# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis_tailored.toml
사용자 지정 규칙 세트를 사용하여 맞춤형 섹션을 블루프린트에 추가합니다.
# Blueprint for CIS Red Hat Enterprise Linux {ProductNumber} Benchmark for Level 2 - Server # ... [customizations.openscap.tailoring] selected = [ "xccdf_org.ssgproject.content_bind_crypto_policy" ] unselected = [ "grub2_password" ]
composer-cli
툴을 사용하여 블루프린트를osbuild-composer
로 푸시합니다.# composer-cli blueprints push cis_tailored.toml
강화된 이미지 빌드를 시작합니다.
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2
이미지 빌드가 준비되면 배포에서 사전 강화된 이미지를 사용하여 VM을 생성합니다. 자세한 내용은 가상 머신 생성을 참조하십시오.
VM에 사전 강화된 이미지를 배포한 후 구성 규정 준수 검사를 수행하여 이미지가 선택한 보안 프로필에 일치하는지 확인할 수 있습니다.
중요구성 규정 준수 스캔을 수행해도 시스템이 규정을 준수하는 것은 아닙니다. 자세한 내용은 Configuration compliance scanning 에서 참조하십시오.
검증
사전 강화된 이미지를 배포한 VM에서 다음 단계를 따르십시오.
-
SSH
를 사용하여 가상 머신에 연결합니다. oscap
스캐너를 실행합니다.# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml
-
compliance-report.html
을 가져와서 결과를 검사합니다.
추가 리소스