7.4. 使用 RHEL 镜像构建器创建一个预先强化的镜像
通过 OpenSCAP 和 RHEL 镜像构建器集成,您可以创建可在虚拟机中部署的预强化的镜像。
前提条件
-
您以 root 用户身份或
welder
组成员的用户身份登录。
流程
使用
OpenSCAP
工具和scap-security-guide
内容,创建一个 TOML 格式的强化蓝图,并在必要时进行修改:# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis.toml
使用
composer-cli
工具将蓝图推送到osbuild-composer
:# composer-cli blueprints push cis.toml
启动强化镜像的构建:
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2
镜像构建就绪后,您可以在部署中使用预先强化的镜像。请参阅创建虚拟机。
验证
在虚拟机中部署了预先强化的镜像后,您可以执行配置合规性扫描,以验证镜像是否与所选安全配置文件一致。
重要
执行配置合规性扫描不能保证系统是合规的。如需更多信息,请参阅配置合规性扫描。
-
使用
SSH
连接到虚拟机。 运行
oscap
扫描程序。# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml
-
获取
compliance-report.html
,并检查结果。
其他资源