Red Hat Training
A Red Hat training course is available for RHEL 8
8.3. OpenSCAP 蓝图自定义
有了 OpenSCAP 对蓝图自定义的支持,您可以创建蓝图,然后使用它们构建自己的预强化镜像。要创建预先强化的镜像,您可以自定义挂载点并根据所选的安全配置集配置文件系统布局。选择 OpenSCAP 配置集后,OpenSCAP 蓝图自定义配置镜像,以便在使用所选配置集的镜像构建过程中触发补救。在镜像构建过程中,OpenSCAP 应用第一次引导补救。
要在镜像蓝图中使用 OpenSCAP 蓝图,您需要提供以下信息:
-
到
datastream补救指令的数据流路径。数据流路径位于/usr/share/xml/scap/ssg/content/目录中。 所需的安全配置集的
profile_id。profile_id字段的值接受长和短形式,例如,以下是可接受的:cis或xccdf_org.ssgproject.content_profile_cis。如需了解更多详细信息,请参阅 RHEL 8 中支持的 SCAP 安全指南配置文件。以下是一个带有 OpenSCAP 自定义示例的蓝图:
[customizations] datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml" profile_id = "xccdf_org.ssgproject.content_profile_cis"
最常见的 SCAP 文件类型是 SCAP 源数据流。您可以在
scap-security-guide软件包中找到有关 SCAP 源数据流的更多详细信息,请输入以下命令:$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
oscap 工具在镜像树上运行,以执行挂载在任意路径的文件系统的离线扫描。您可以使用它扫描 oscap-docker 或 oscap-vm 不支持的自定义对象,如 Docker 以外的格式容器。oscap-chroot 模拟 oscap 工具的使用和选项。
RHEL 镜像构建器根据您的蓝图自定义,为 osbuild 阶段产生所需的配置。另外,RHEL 镜像构建器向镜像中添加了两个软件包:
-
openscap-scanner-OpenSCAP工具。 scap-security-guide- 包含补救指令的软件包。注意补救阶段将
scap-security-guide软件包用于 datastream,因为这个软件包默认安装在镜像中。如果要使用不同的数据流,将必要的软件包添加到蓝图中,并在oscap配置中指定到 datastream 的路径。
其他资源
