7.4. RHEL 이미지 빌더를 사용하여 사전 강화된 이미지 생성
OpenSCAP 및 RHEL 이미지 빌더 통합을 사용하면 VM에 배포할 수 있는 사전 강화된 이미지를 생성할 수 있습니다.
사전 요구 사항
-
root 사용자 또는
welder
그룹의 멤버인 사용자로 로그인되어 있습니다.
절차
OpenSCAP
툴 및scap-security-guide
콘텐츠를 사용하여 TOML 형식으로 강화 블루프린트를 생성하고 필요한 경우 수정합니다.# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis.toml
composer-cli
툴을 사용하여 블루프린트를osbuild-composer
로 푸시합니다.# composer-cli blueprints push cis.toml
강화된 이미지 빌드를 시작합니다.
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2
이미지 빌드가 준비되면 배포에 사전 강화된 이미지를 사용할 수 있습니다. 가상 머신 생성을 참조하십시오.
검증
VM에 사전 강화된 이미지를 배포한 후 구성 규정 준수 검사를 수행하여 이미지가 선택한 보안 프로필에 일치하는지 확인할 수 있습니다.
구성 규정 준수 스캔을 수행해도 시스템이 규정을 준수하는 것은 아닙니다. 자세한 내용은 Configuration compliance scanning 에서 참조하십시오.
-
SSH
를 사용하여 가상 머신에 연결합니다. oscap
스캐너를 실행합니다.# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml
-
compliance-report.html
을 가져와서 결과를 검사합니다.
추가 리소스