搜索

7.4. 使用 RHEL 镜像构建器创建一个预先强化的镜像

download PDF

通过 OpenSCAP 和 RHEL 镜像构建器集成,您可以创建可在虚拟机中部署的预强化的镜像。

前提条件

  • 您以 root 用户身份或 welder 组成员的用户身份登录。

流程

  1. 使用 OpenSCAP 工具和 scap-security-guide 内容,创建一个 TOML 格式的强化蓝图,并在必要时进行修改:

    # oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis.toml
  2. 使用 composer-cli 工具将蓝图推送到 osbuild-composer

    # composer-cli blueprints push cis.toml
  3. 启动强化镜像的构建:

    # composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2

    镜像构建就绪后,您可以在部署中使用预先强化的镜像。请参阅创建虚拟机

验证

在虚拟机中部署了预先强化的镜像后,您可以执行配置合规性扫描,以验证镜像是否与所选安全配置文件一致。

重要

执行配置合规性扫描不能保证系统是合规的。如需更多信息,请参阅配置合规性扫描

  1. 使用 SSH 连接到虚拟机。
  2. 运行 oscap 扫描程序。

    # oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml
  3. 获取 compliance-report.html ,并检查结果。
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.