5.3. 設定コンプライアンスの修正


システムを特定のプロファイルに自動的に準拠させるには、修正を実行します。SCAP Security Guide で提供されるプロファイルに合わせてシステムを修正できます。

5.3.1. 特定のベースラインに合わせたシステムの修正

特定のベースラインに合わせて RHEL システムを修正できます。SCAP Security Guide で提供されるプロファイルに合わせてシステムを修正できます。

使用可能なプロファイルのリスト表示の詳細は、設定コンプライアンスのプロファイルの表示 セクションを参照してください。

警告

Remediate オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーハードニング関連の修復によって行われた変更を自動的に元に戻す方法は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。

前提条件

  • scap-security-guide パッケージがインストールされている。

手順

  1. --remediate オプションを指定した oscap コマンドを使用してシステムを修復します。

    # oscap xccdf eval --profile <profile_ID> --remediate /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    <profile_ID> は、システムが準拠する必要があるプロファイル ID (例: hipaa) に置き換えます。

  2. システムを再起動します。

検証

  1. システムがプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。

    $ oscap xccdf eval --report <scan_report.html> --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    以下のように置き換えます。

    • <scan_report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。
    • <profile_ID> は、システムが準拠する必要があるプロファイル ID (例: hipaa) に置き換えます。

5.3.2. SSG Ansible Playbook を使用した特定のベースラインに合わせたシステムの修正

SCAP Security Guide プロジェクトの Ansible Playbook ファイルを使用して、特定のベースラインに合わせてシステムを修正できます。SCAP Security Guide によって提供されるすべてのプロファイルに合わせて修正できます。

警告

Remediate オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーハードニング関連の修復によって行われた変更を自動的に元に戻す方法は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。

前提条件

  • scap-security-guide パッケージがインストールされている。
  • ansible-core パッケージがインストールされている。詳細は、Ansible インストールガイド を参照してください。
  • rhc-worker-playbook パッケージがインストールされている。
  • システムの修正に使用するプロファイルの ID がわかっている。詳細は、設定コンプライアンスのプロファイルの表示 を参照してください。

手順

  1. Ansible を使用して、選択したプロファイルに準拠するようにシステムを修正します。

    # ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local /usr/share/scap-security-guide/ansible/rhel10-playbook-<profile_ID>.yml
    Copy to Clipboard Toggle word wrap

    このコマンドで Playbook を実行するには、ANSIBLE_COLLECTIONS_PATH 環境変数が必要です。

    <profile_ID> は、選択したプロファイルのプロファイル ID に置き換えます。

  2. システムを再起動します。

検証

  • システムが選択したプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。

    # oscap xccdf eval --profile <profile_ID> --report <scan_report.html> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    <scan_report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。

5.3.3. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成

システムを特定のベースラインに合わせるために必要な修復のみを含む Ansible Playbook を作成できます。この Playbook は、すでに満たされている要件を含んでいないため、小型です。Playbook を作成しても、システムは一切変更されません。ここでは、後で適用するためのファイルを準備するだけです。

前提条件

  • scap-security-guide パッケージがインストールされている。
  • ansible-core パッケージがインストールされている。詳細は、Ansible インストールガイド を参照してください。
  • rhc-worker-playbook パッケージがインストールされている。
  • システムの修正に使用するプロファイルの ID がわかっている。詳細は、設定コンプライアンスのプロファイルの表示 を参照してください。

手順

  1. システムをスキャンして結果を保存します。

    # oscap xccdf eval --profile <profile_ID> --results <profile_results.xml> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap
  2. 結果が含まれるファイルで、結果 ID の値を見つけます。

    # oscap info <profile_results.xml>
    Copy to Clipboard Toggle word wrap
  3. ステップ 1 で生成されたファイルに基づいて Ansible Playbook を生成します。

    # oscap xccdf generate fix --fix-type ansible --result-id xccdf_org.open-scap_testresult_xccdf_org.ssgproject.content_profile_<profile_ID> --output <profile_remediations.yml> <profile_results.xml>
    Copy to Clipboard Toggle word wrap
  4. 生成された <profile_remediations.yml> ファイルに、ステップ 1 で実行したスキャンで失敗したルールに対する Ansible 修復が含まれていることを確認します。
  5. Ansible を使用して、選択したプロファイルに準拠するようにシステムを修正します。

    # ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -i "localhost," -c local <profile_remediations.yml>`
    Copy to Clipboard Toggle word wrap

    このコマンドで Playbook を実行するには、ANSIBLE_COLLECTIONS_PATH 環境変数が必要です。

    警告

    Remediate オプションが有効な状態でのシステム評価は、慎重に行わないとシステムが機能不全に陥る場合があります。Red Hat は、セキュリティーハードニング関連の修復によって行われた変更を自動的に元に戻す方法は提供していません。修復は、デフォルト設定の RHEL システムで対応しています。インストール後にシステムが変更した場合は、修正を実行しても、必要なセキュリティープロファイルに準拠しない場合があります。

検証

  • システムが選択したプロファイルに準拠しているかどうかを評価し、スキャン結果をファイルに保存します。

    # oscap xccdf eval --profile <profile_ID> --report <scan_report.html> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
    Copy to Clipboard Toggle word wrap

    <scan_report.html> は、oscap がスキャン結果を保存するファイル名に置き換えます。

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat