红帽全球峰会8.2. 使用 RHEL 镜像构建器创建一个预强化的镜像
有了 OpenSCAP 和 RHEL 镜像构建器集成,您可以创建符合特定配置文件的预先强化的镜像,例如,您可以在虚拟机中或裸机环境中部署它们。
前提条件
-
您以 root 用户身份登录,或者以是
weldr组成员的用户身份登录。 -
openscap和scap-security-guide软件包已安装。
流程
使用
OpenSCAP工具和scap-security-guide内容,创建 TOML 格式的强化蓝图,并根据需要进行修改:# oscap xccdf generate fix --profile=<profileID> --fix-type=<blueprint_name>.toml /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml > cis.toml将
<profileID>替换为系统应该遵守的配置文件 ID,例如cis。使用
composer-cli工具将蓝图推送到osbuild-composer:# composer-cli blueprints push <blueprint_name>.toml启动强化镜像的构建:
# composer-cli compose start <blueprint_name> <image_type>将
<image_type>替换为任何镜像类型,如qcow2。镜像构建就绪后,您可以在部署中使用预先强化的镜像。请参阅创建虚拟机。
验证
部署预先强化的镜像后,您可以执行配置合规性扫描,以验证镜像是否与所选安全配置文件一致。
重要
执行配置合规性扫描不能保证系统是合规的。如需更多信息,请参阅配置合规性扫描。
其他资源
