Red Hat Training

A Red Hat training course is available for RHEL 8

8.4. RHEL Image Builder を使用したハードニング済みイメージの作成

OpenSCAP と RHEL Image Builder の統合により、仮想マシンでデプロイ可能なハードニング済みイメージを作成できます。

前提条件

  • root ユーザーまたは welder グループのメンバーであるユーザーとしてログインしている。

手順

  1. 次の内容で、TOML 形式のブループリントを作成します。 

    name = "blueprint_name"
description = "blueprint_description"
version = "0.0.1"
modules = []
groups = []
distro = ""

[customizations]
[[customizations.user]]
name = "scap-security-guide"
description = "Admin account"
password = secure_password_hash
key = ssh-key
home = "/home/scap-security-guide"
group = ["wheel"]

[[customizations.filesystem]]
mountpoint = "/tmp"
size = "20 GiB"

[customizations.openscap]
datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml "
profile_id = "cis"

  2. OpenSCAP イメージのビルドを開始します。 

    # composer-cli compose start blueprint_name qcow2

    blueprint_name はブループリント名です。

    イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。仮想マシンの作成 を参照してください。

検証

ハードニング済みイメージを仮想マシンにデプロイした後、設定コンプライアンスのスキャンを実行して、イメージが選択したセキュリティープロファイルに適合していることを確認できます。

重要

設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細については、設定コンプライアンススキャン を参照してください。

  1. SSH を使用してイメージに接続します。

  2. oscap スキャナーを実行します。 

    # scap-workbench

  3. SCAP ワークベンチで、以下を実行します。

    1. スキャンするシステムのバージョンを選択します。コンテンツの読み込みを クリックします。
    2. スキャンするプロファイルを選択し、スキャン をクリックします。OpenSCAP は、システムのすべての要件をチェックします。
    3. Scan をクリックして、選択したプロファイルでシステムをスキャンします。
    4. スキャンが完了したら、レポートを表示 をクリックします。

関連情報