5.3. 設定コンプライアンスの修正
システムを特定のプロファイルに自動的に準拠させるには、修正を実行します。SCAP Security Guide で提供されるプロファイルに合わせてシステムを修正できます。
5.3.1. 特定のベースラインに合わせたシステムの修正 リンクのコピーリンクがクリップボードにコピーされました!
特定のベースラインに合わせて RHEL システムを修正できます。SCAP Security Guide で提供されるプロファイルに合わせてシステムを修正できます。
使用可能なプロファイルのリスト表示の詳細は、設定コンプライアンスのプロファイルの表示 セクションを参照してください。
Remediate
オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーハードニング関連の修復によって行われた変更を自動的に元に戻す方法は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。
前提条件
-
scap-security-guide
パッケージがインストールされている。
手順
--remediate
オプションを指定したoscap
コマンドを使用してシステムを修復します。oscap xccdf eval --profile <profile_ID> --remediate /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
# oscap xccdf eval --profile <profile_ID> --remediate /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow <profile_ID>
は、システムが準拠する必要があるプロファイル ID (例:hipaa
) に置き換えます。- システムを再起動します。
検証
システムがプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。
oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
$ oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 以下のように置き換えます。
-
<scan_report.html>
は、oscap
がスキャン結果を保存するファイル名に置き換えます。 -
<profile_ID>
は、システムが準拠する必要があるプロファイル ID (例:hipaa
) に置き換えます。
-
5.3.2. SSG Ansible Playbook を使用した特定のベースラインに合わせたシステムの修正 リンクのコピーリンクがクリップボードにコピーされました!
SCAP Security Guide プロジェクトの Ansible Playbook ファイルを使用して、特定のベースラインに合わせてシステムを修正できます。SCAP Security Guide によって提供されるすべてのプロファイルに合わせて修正できます。
Remediate
オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーハードニング関連の修復によって行われた変更を自動的に元に戻す方法は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。
前提条件
-
scap-security-guide
パッケージがインストールされている。 -
ansible-core
パッケージがインストールされている。詳細は、Ansible インストールガイド を参照してください。 -
rhc-worker-playbook
パッケージがインストールされている。 - システムの修正に使用するプロファイルの ID がわかっている。詳細は、設定コンプライアンスのプロファイルの表示 を参照してください。
手順
Ansible を使用して、選択したプロファイルに準拠するようにシステムを修正します。
ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local /usr/share/scap-security-guide/ansible/rhel10-playbook-<profile_ID>.yml
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local /usr/share/scap-security-guide/ansible/rhel10-playbook-<profile_ID>.yml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow このコマンドで Playbook を実行するには、
ANSIBLE_COLLECTIONS_PATH
環境変数が必要です。<profile_ID>
は、選択したプロファイルのプロファイル ID に置き換えます。- システムを再起動します。
検証
システムが選択したプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。
oscap xccdf eval --profile <profile_ID> --report <scan_report.html> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
# oscap xccdf eval --profile <profile_ID> --report <scan_report.html> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow <scan_report.html>
は、oscap
がスキャン結果を保存するファイル名に置き換えます。
5.3.3. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成 リンクのコピーリンクがクリップボードにコピーされました!
システムを特定のベースラインに合わせるために必要な修復のみを含む Ansible Playbook を作成できます。この Playbook は、すでに満たされている要件を含んでいないため、小型です。Playbook を作成しても、システムは一切変更されません。ここでは、後で適用するためのファイルを準備するだけです。
前提条件
-
scap-security-guide
パッケージがインストールされている。 -
ansible-core
パッケージがインストールされている。詳細は、Ansible インストールガイド を参照してください。 -
rhc-worker-playbook
パッケージがインストールされている。 - システムの修正に使用するプロファイルの ID がわかっている。詳細は、設定コンプライアンスのプロファイルの表示 を参照してください。
手順
システムをスキャンして結果を保存します。
oscap xccdf eval --profile <profile_ID> --results <profile_results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
# oscap xccdf eval --profile <profile_ID> --results <profile_results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 結果が含まれるファイルで、結果 ID の値を見つけます。
oscap info <profile_results.xml>
# oscap info <profile_results.xml>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow ステップ 1 で生成されたファイルに基づいて Ansible Playbook を生成します。
oscap xccdf generate fix --fix-type ansible --result-id xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_<profile_ID> --output <profile_remediations.yml> <profile_results.xml>
# oscap xccdf generate fix --fix-type ansible --result-id xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_<profile_ID> --output <profile_remediations.yml> <profile_results.xml>
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
生成された
<profile_remediations.yml>
ファイルに、ステップ 1 で実行したスキャンで失敗したルールに対する Ansible 修復が含まれていることを確認します。 Ansible を使用して、選択したプロファイルに準拠するようにシステムを修正します。
ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local <profile_remediations.yml>`
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local <profile_remediations.yml>`
Copy to Clipboard Copied! Toggle word wrap Toggle overflow このコマンドで Playbook を実行するには、
ANSIBLE_COLLECTIONS_PATH
環境変数が必要です。警告Remediate
オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーハードニング関連の修復によって行われた変更を自動的に元に戻す方法は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。
検証
システムが選択したプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。
oscap xccdf eval --profile <profile_ID> --report <scan_report.html> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
# oscap xccdf eval --profile <profile_ID> --report <scan_report.html> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Copy to Clipboard Copied! Toggle word wrap Toggle overflow <scan_report.html>
は、oscap
がスキャン結果を保存するファイル名に置き換えます。