7.4. RHEL Image Builder を使用したハードニング済みイメージの作成
OpenSCAP と RHEL Image Builder の統合により、ハードニング済みイメージを作成できます。
手順
次の内容で、TOML 形式のブループリントを作成します。
name = "blueprint_name" description = "blueprint_description" version = "0.0.1" modules = [] groups = [] distro = "" [customizations] [[customizations.user]] name = "scap-security-guide" description = "Admin account" password = secure_password_hash key = ssh-key home = "/home/scap-security-guide" group = ["wheel"] [[customizations.filesystem]] mountpoint = "/tmp" size = 13107200 [customizations.openscap] datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml " profile_id = "cis"
OpenSCAP イメージのビルドを開始します。
# composer-cli compose start blueprint_name qcow2blueprint_name はブループリント名です。
イメージビルドの準備ができたら、デプロイメントでハードニング済みイメージを使用できます。仮想マシンの作成 を参照してください。
検証
ハードニング済みイメージを仮想マシンにデプロイした後、設定コンプライアンスのスキャンを実行して、イメージが選択したセキュリティープロファイルに適合していることを確認できます。
重要
設定コンプライアンススキャンを実行しても、システムが準拠しているとは限りません。詳細については、設定コンプライアンススキャン を参照してください。
- SSH を使用してイメージに接続します。
oscapスキャナーを実行します。# scap-workbench- スキャンするシステムのバージョンを選択します。コンテンツの読み込みを クリックします。
- スキャンするプロファイルを選択し、スキャン をクリックします。OpenSCAP は、システムのすべての要件をチェックします。
- スキャンが完了したら、レポートを表示 をクリックします。