7.3. OpenSCAP 蓝图自定义

通过支持蓝图自定义的 OpenSCAP ,您可以创建蓝图,然后使用它们构建自己的预强化的镜像。要创建预先强化的镜像,您可以自定义挂载点并根据所选的安全配置集配置文件系统布局。选择 OpenSCAP 配置集后,OpenSCAP 蓝图自定义配置镜像,以便在使用所选配置集的镜像构建过程中触发补救。在镜像构建过程中,OpenSCAP 应用第一次引导补救。

要在镜像蓝图中使用 OpenSCAP 蓝图,您需要提供以下信息:

  • datastream 补救指令的数据流路径。datastream 路径位于 /usr/share/xml/scap/ssg/content/ 目录中。
  • 所需的安全配置集的 profile_idprofile_id 字段的值接受长和短形式,例如以下是可接受的形式:cisxccdf_org.ssgproject.content_profile_cis。如需了解更多详细信息,请参阅 RHEL 9 支持的 SCAP 安全指南配置集

    以下是一个带有 OpenSCAP 自定义示例的蓝图:

    [customizations]
    datastream = "/usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml"
    profile_id = "xccdf_org.ssgproject.content_profile_cis"

    最常见的 SCAP 文件类型是 SCAP 源数据流。您可以在 scap-security-guide 软件包中找到有关 SCAP 源数据流的更多详细信息,请输入命令:

    $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

oscap 工具在镜像树上运行,以执行挂载在任意路径的文件系统的离线扫描。您可以使用它扫描 oscap-dockeroscap-vm 不支持的自定义对象,如 Docker 以外的格式的容器。oscap-chroot 模拟 oscap 工具的使用和选项。

RHEL 镜像构建器根据您的蓝图自定义为 osbuild 阶段生成所需的配置。另外,RHEL 镜像构建器向镜像中添加两个软件包:

  • openscap-scanner - OpenSCAP 工具。
  • scap-security-guide - 包含补救指令的软件包。

    注意

    补救阶段将 scap-security-guide 软件包用于 datastream,因为这个软件包默认安装在镜像中。如果要使用不同的数据流,将必要的软件包添加到蓝图中,并在 oscap 配置中指定到 datastream 的路径。