7.2. 使用 RHEL 镜像构建器创建一个预先强化的镜像

有了 OpenSCAP 和 RHEL 镜像构建器集成，您可以创建符合特定配置文件的预先强化的镜像，例如，您可以在虚拟机中或裸机环境中部署它们。

前提条件

流程

使用 OpenSCAP 工具和 scap-security-guide 内容，创建一个 TOML 格式的强化蓝图，并在必要时进行修改：
```
# oscap xccdf generate fix --profile=<profileID> --fix-type=<blueprint> /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml > cis.toml
```
将 <profileID> 替换为系统应该遵守的配置文件 ID，例如 cis。
使用 composer-cli 工具将蓝图推送到 osbuild-composer ：
```
# composer-cli blueprints push <blueprint_name>.toml
```
启动强化镜像的构建：
```
# composer-cli compose start <blueprint_name> <image_type>
```
将 <image_type> 替换为任何镜像类型，如 qcow2。
镜像构建就绪后，您可以在部署中使用预先强化的镜像。请参阅创建虚拟机。

验证

部署预先强化的镜像后，您可以执行配置合规性扫描，以验证镜像是否与所选的安全配置文件一致。

重要

执行配置合规性扫描不能保证系统是合规的。如需更多信息，请参阅配置合规性扫描。