搜索

7.5. 将配置文件的自定义定制选项添加到蓝图中

download PDF

使用 OpenSCAP 和 RHEL 镜像构建器集成,您可以使用以下选项,将配置文件的自定义定制选项添加到蓝图自定义中:

  • selected 用于您要添加的规则的列表
  • unselected 用于您要删除的规则的列表

使用默认的 org.ssgproject.content 规则命名空间,您可以在此命名空间下省略规则的前缀。例如,org.ssgproject.content_grub2_passwordgrub2_password 在功能上是等同的。

当您从该蓝图构建镜像时,它会使用新的定制配置文件 ID 创建一个定制文件,并将其保存为 /usr/share/xml/osbuild-oscap-tailoring/tailoring.xml 镜像。新配置文件 ID 将 _osbuild_tailoring 作为后缀附加到基本配置文件。例如,如果您使用 CIS (cis)基础配置文件,配置文件 ID 将是 xccdf_org.ssgproject.content_profile_cis_osbuild_tailoring

前提条件

  • 您以 root 用户身份或 welder 组成员的用户身份登录。

流程

  1. 使用 OpenSCAP 工具和 scap-security-guide 内容,创建一个 TOML 格式的强化蓝图,并在必要时进行修改:

    # oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml > cis_tailored.toml
  2. 将带有自定义规则集的定制部分附加到蓝图中:

    # Blueprint for CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server
    # ...
    [customizations.openscap.tailoring]
    selected = [ "xccdf_org.ssgproject.content_bind_crypto_policy" ]
    unselected = [ "grub2_password" ]
  3. 使用 composer-cli 工具将蓝图推送到 osbuild-composer

    # composer-cli blueprints push cis_tailored.toml
  4. 启动强化镜像的构建:

    # composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2

    镜像构建就绪后,请在部署中使用预强化的镜像来创建虚拟机。如需更多信息,请参阅 创建虚拟机

    在虚拟机中部署了预先强化的镜像后,您可以执行配置合规性扫描,以验证镜像是否与所选安全配置文件一致。

    重要

    执行配置合规性扫描不能保证系统是合规的。如需更多信息,请参阅配置合规性扫描

验证

在部署了预强化的镜像的虚拟机中,请按照以下步骤操作:

  1. 使用 SSH 连接到虚拟机。
  2. 运行 oscap 扫描程序。

    # oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
  3. 获取 compliance-report.html ,并检查结果。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.