7.4. 使用 RHEL 镜像构建器创建一个预先强化的镜像
通过 OpenSCAP 和 RHEL 镜像构建器集成,您可以创建可在虚拟机中部署的预强化的镜像。
前提条件
-
您以 root 用户身份或
welder组成员的用户身份登录。
流程
以 TOML 格式创建强化蓝图,使用
OpenSCAP工具和scap-security-guide内容,并根据需要进行修改:# oscap xccdf generate fix --profile=cis --fix-type=blueprint /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml > cis.toml使用
composer-cli工具将蓝图推送到osbuild-composer:# composer-cli blueprints push cis.toml启动强化镜像的构建:
# composer-cli compose start hardened_xccdf_org.ssgproject.content_profile_cis qcow2镜像构建就绪后,您可以在部署中使用预先强化的镜像。请参阅创建虚拟机。
验证
在虚拟机中部署预先强化的镜像后,可以执行配置合规性扫描,以验证镜像是否与所选安全配置集一致。
重要
执行配置合规性扫描不能保证系统是合规的。如需更多信息,请参阅配置合规性扫描。
-
使用
SSH连接到虚拟机。 运行
oscap扫描程序。# oscap xccdf eval --profile=cis --report=/tmp/compliance-report.html /usr/share/xml/scap/ssg/content/ssg-rhel{ProductNumber}-ds.xml-
获取
compliance-report.html并检查结果。
其他资源
