7.3. OpenSCAP ブループリントのカスタマイズ

ブループリントカスタマイズの OpenSCAP サポートにより、ブループリントを作成し、それらを使用して独自のハードニング済みイメージをビルドできます。ハードニング済みイメージを作成するには、マウントポイントをカスタマイズし、選択したセキュリティープロファイルに従ってファイルシステムレイアウトを設定します。イメージのビルド中に、OpenSCAP は初回起動修復を適用します。

OpenSCAP プロファイルを選択すると、OpenSCAP ブループリントのカスタマイズにより、選択したプロファイルを使用したイメージのビルド中に修復をトリガーするようにイメージが設定されます。

イメージブループリントで OpenSCAP ブループリントのカスタマイズを使用するには、次の情報を入力します。

  • datastream 修復手順へのデータストリームパス。データストリームパスは、/usr/share/xml/scap/ssg/content/ ディレクトリーにあります。

  • 必要なセキュリティープロファイルの profile_idprofile_id フィールドは、長い形式と短い形式の両方を受け入れます (例: cis または xccdf_org.ssgproject.content_profile_cis)。詳細については、RHEL 9 でサポートされている SCAP Security Guide のプロファイル を参照してください。

    以下は、OpenSCAP のカスタマイズ例を使用したブループリントです。 

    [customizations]
datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml"
profile_id = "xccdf_org.ssgproject.content_profile_cis"

    最も一般的な SCAP ファイルタイプは、SCAP ソースデータストリームです。scap-security-guide パッケージからの SCAP ソースデータストリームの詳細を表示するには、次のコマンドを入力します。 

    $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

    oscap ツールはイメージツリーで実行され、任意のパスにマウントされているファイルシステムのオフラインスキャンを実行します。Docker 以外の形式のコンテナーなど、oscap-docker または oscap-vm でサポートされていないカスタムオブジェクトのスキャンに使用できます。oscap-chroot は、oscap ツールの使用方法とオプションを模倣しています。

    RHEL Image Builder は、ブループリントのカスタマイズに基づいて、osbuild ステージに必要な設定を生成します。さらに、RHEL Image Builder は 2 つのパッケージをイメージに追加します。

  • openscap-scanner - OpenSCAP ツール。

  • scap-security-guide - 修復手順を含むパッケージ。

    注記

    このパッケージはデフォルトでイメージにインストールされるため、修復ステージではデータストリームに scap-security-guide パッケージを使用します。別のデータストリームを使用する場合は、必要なパッケージをブループリントに追加し、oscap 設定でデータストリームへのパスを指定します。

関連情報