Red Hat Training

A Red Hat training course is available for RHEL 8

第 8 章 使用 RHEL 镜像构建器 OpenSCAP 集成创建预强化的镜像

内部 RHEL 镜像构建器支持 OpenSCAP 集成。这个集成启用了预强化的 RHEL 镜像的生产。通过设置蓝图,您可以执行以下操作:

  • 使用一组预定义的安全配置文件对其进行自定义
  • 添加一组软件包或附加文件
  • 构建一个更适合您的环境、准备部署到所选平台上的自定义 RHEL 镜像

红帽为构建系统时可以选择的安全强化配置集定期更新版本,以便您能够满足您的当前部署指南。

警告

RHEL 镜像构建器不包括对 FIPS 引导模式的支持。因此,不支持需要启用了 FIPS 模式的 OpenSCAP 配置文件,如 DISA STIG。

8.1. Kickstart 和预先强化的镜像之间的区别

对于使用 Kickstart 文件创建的传统镜像,您需要选择要安装哪些软件包,并确保系统不受安全漏洞的影响。通过 RHEL 镜像构建器 OpenSCAP 集成,您可以构建强化安全的镜像。在镜像构建过程中,OSBuild oscap remediation stage 在文件系统树的 chroot 中运行 OpenSCAP 工具。OpenSCAP 工具为您选择的配置集运行标准评估,并将补救应用于镜像。因此,如果您与在实时系统上运行补救进行比较,您可以构建更加全面的强化型镜像。