第 7 章 使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像

内部 RHEL 镜像构建器支持 OpenSCAP 集成。这个集成启用了预强化的 RHEL 镜像的生产环境。通过建立蓝图,您可以执行以下操作:

  • 使用一组预定义的安全配置文件自定义它
  • 添加一组软件包或附加文件
  • 构建一个准备部署到更适合您环境的所选平台上的自定义 RHEL 镜像

红帽为构建系统时可以选择的安全强化配置集定期更新版本,以便您能够满足您的当前部署指南。

警告

RHEL 镜像构建器不包括对 FIPS 引导模式的支持。因此,不支持需要启用 FIPS 模式的 OpenSCAP 配置文件,如 DISA STIG。

7.1. Kickstart 和预先强化的镜像之间的区别

对于使用 Kickstart 文件创建的传统镜像,您需要选择要安装哪些软件包,并确保系统不受安全漏洞的影响。通过 RHEL 镜像构建器 OpenSCAP 集成,您可以构建安全强化的镜像。在镜像构建过程中,OSBuild oscap remediation stage 在文件系统树的 chroot 中运行 OpenSCAP 工具。OpenSCAP 工具为您选择的配置集运行标准评估,并将补救应用于镜像。因此,如果您与在实时系统上运行补救进行比较,您可以构建更加全面的强化型镜像。