검색

7.3. OpenSCAP 사용자 정의

download PDF

블루프린트 사용자 지정에 대한 OpenSCAP 지원을 통해 scap-security-guide 특정 보안 프로필에 대한 블루프린트를 생성한 다음 이를 사용하여 사전 강화된 이미지를 빌드할 수 있습니다. 사용자 지정 사전 강화된 이미지를 생성하려면 마운트 지점을 수정하고 특정 요구 사항에 따라 파일 시스템 레이아웃을 구성할 수 있습니다. OpenSCAP 프로필을 선택한 후 OpenSCAP 블루프린트는 선택한 프로필에 따라 이미지 빌드 중에 수정을 트리거하도록 이미지를 구성합니다. 이미지 빌드 중에 OpenSCAP 은 사전 부팅 전 수정을 적용합니다.

이미지 블루프린트에서 OpenSCAP 블루프린트 사용자 지정을 사용하려면 다음 정보를 제공해야 합니다.

  • datastream 수정 명령의 데이터 스트림 경로입니다. scap-security-guide 패키지의 데이터 스트림 파일은 /usr/share/xml/scap/ssg/content/ 디렉터리에 있습니다. 1
  • 필요한 보안 프로파일의 profile_id 입니다. profile_id 필드의 값은 긴 양식과 짧은 양식을 모두 허용합니다. 예를 들어 다음과 같은 양식은 허용됩니다. cis 또는 xccdf_org.ssgproject.content_profile_cis. 자세한 내용은 RHEL 9에서 지원되는 SCAP 보안 가이드 프로필 을 참조하십시오.

    다음 예제는 OpenSCAP 수정 단계가 있는 블루프린트입니다.

    [customizations.openscap]
    # If you want to use the data stream from the 'scap-security-guide' package
    # the 'datastream' key could be omitted.
    # datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml"
    profile_id = "xccdf_org.ssgproject.content_profile_cis"

    명령을 사용하여 제공하는 보안 프로필 목록을 포함하여 scap-security-guide 패키지에서 SCAP 소스 데이터 스트림에 대한 자세한 내용을 확인할 수 있습니다.

    # oscap info /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

편의를 위해 OpenSCAP 툴은 scap-security-guide 데이터 스트림에서 사용 가능한 모든 프로필에 대한 강화 블루프린트를 생성할 수 있습니다.

예를 들어 명령은 다음과 같습니다.

# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

다음과 유사한 CIS 프로필에 대한 블루프린트를 생성합니다.

# Blueprint for CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server
#
# Profile Description:
# This profile defines a baseline that aligns to the "Level 2 - Server"
# configuration from the Center for Internet Security® Red Hat Enterprise
# Linux 9 Benchmark™, v3.0.0, released 2023-10-30.
# This profile includes Center for Internet Security®
# Red Hat Enterprise Linux 9 CIS Benchmarks™ content.
#
# Profile ID:  xccdf_org.ssgproject.content_profile_cis
# Benchmark ID:  xccdf_org.ssgproject.content_benchmark_RHEL-9
# Benchmark Version:  0.1.74
# XCCDF Version:  1.2

name = "hardened_xccdf_org.ssgproject.content_profile_cis"
description = "CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server"
version = "0.1.74"

[customizations.openscap]
profile_id = "xccdf_org.ssgproject.content_profile_cis"
# If your hardening data stream is not part of the 'scap-security-guide' package
# provide the absolute path to it (from the root of the image filesystem).
# datastream = "/usr/share/xml/scap/ssg/content/ssg-xxxxx-ds.xml"

[[customizations.filesystem]]
mountpoint = "/home"
size = 1073741824

[[customizations.filesystem]]
mountpoint = "/tmp"
size = 1073741824

[[customizations.filesystem]]
mountpoint = "/var"
size = 3221225472

[[customizations.filesystem]]
mountpoint = "/var/tmp"
size = 1073741824

[[packages]]
name = "aide"
version = "*"

[[packages]]
name = "libselinux"
version = "*"

[[packages]]
name = "audit"
version = "*"

[customizations.kernel]
append = "audit_backlog_limit=8192 audit=1"

[customizations.services]
enabled = ["auditd","crond","firewalld","systemd-journald","rsyslog"]
disabled = []
masked = ["nfs-server","rpcbind","autofs","bluetooth","nftables"]
참고

이미지 강화를 위해 이 정확한 블루프린트 스니펫을 사용하지 마십시오. 이는 전체 프로필을 반영하지 않습니다. Red Hat은 scap-security-guide 패키지의 각 프로필에 대한 보안 요구 사항을 지속적으로 업데이트하고 구체화하므로 시스템에 제공된 데이터 스트림의 최신 버전을 사용하여 초기 템플릿을 항상 다시 생성하는 것이 좋습니다.

이제 블루프린트를 사용자 지정하거나 그대로 사용하여 이미지를 빌드할 수 있습니다.

RHEL 이미지 빌더는 블루프린트 사용자 지정을 기반으로 osbuild 단계에 필요한 구성을 생성합니다. 또한 RHEL 이미지 빌더에서는 이미지에 두 개의 패키지를 추가합니다.

  • OpenSCAP -scanner - OpenSCAP 툴.
  • scap-security-guide - 수정 및 평가 지침이 포함된 패키지입니다.

    참고

    수정 단계에서는 이 패키지가 기본적으로 이미지에 설치되므로 datastream에 scap-security-guide 패키지를 사용합니다. 다른 데이터 스트림을 사용하려면 필요한 패키지를"에 추가하고 oscap 구성에서 데이터 스트림 경로를 지정합니다.

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.