主页
产品
Red Hat Enterprise Linux
10
创建自定义 RHEL 系统镜像
8.3. 使用 RHEL 镜像构建器自定义预先强化的镜像

8.3. 使用 RHEL 镜像构建器自定义预先强化的镜像

您可以通过更改某些规则中的参数（如最小密码长度、删除以不同方式涵盖的规则以及选择附加规则）来自定义安全配置文件，以实施内部策略。您不能通过自定义配置文件来定义新规则。

当您从该蓝图构建镜像时，它会使用新的定制配置文件 ID 创建一个定制文件，并将其保存为 /usr/share/xml/osbuild-oscap-tailoring/tailoring.xml 镜像。新配置文件 ID 将 _osbuild_tailoring 作为后缀附加到基本配置文件。例如，如果您使用 CIS (cis)基础配置文件，配置文件 ID 将是 xccdf_org.ssgproject.content_profile_cis_osbuild_tailoring。

先决条件

您以 root 用户身份登录，或者以是 weldr 组成员的用户身份登录。
openscap 和 scap-security-guide 软件包已安装。

流程

从所选配置文件创建 TOML 格式的强化蓝图。例如：

# oscap xccdf generate fix --profile=<profileID> --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml > <profileID>tailored.toml

将带有自定义规则集的定制部分附加到蓝图中。请注意，通过选择或取消选择规则，而不更改其他规则的状态，定制自定义将仅影响自定义基于的配置文件中规则的默认选择或未选择的状态。
```
# Blueprint for CIS Red Hat Enterprise Linux 10.0 Benchmark for Level 2 - Server
# ...
[customizations.openscap.tailoring]
selected = [ "xccdf_org.ssgproject.content_bind_crypto_policy" ]
unselected = [ "grub2_password" ]
```

使用 composer-cli 工具将蓝图推送到 osbuild-composer ：

# composer-cli blueprints push <blueprintProfileID>tailored.toml

启动强化镜像的构建：
```
# composer-cli compose start <blueprintProfileID> image_type
```
将 <image_type> 替换为任何镜像类型，如 qcow2。
镜像构建就绪后，对部署使用预先强化的镜像。

验证

部署预先强化的镜像后，您可以执行配置合规性扫描，以验证镜像是否与所选的安全配置文件一致。

重要

执行配置合规性扫描不能保证系统是合规的。如需更多信息，请参阅配置合规性扫描。

8.3. 使用 RHEL 镜像构建器自定义预先强化的镜像

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links