2.3. USGCB 準拠のインストールイメージの作成
Red Hat Enterprise Linux 6 の scap-security-guide パッケージには、専用のキックスタートファイルが含まれており、米国政府共通設定基準(USGCB ) 標準に準拠する強化されたシステムをインストールするために使用できます。これは、この標準への準拠が政府の規制で要求される場合に便利です。
このキックスタート設定は、Red Hat Enterprise Linux 6 の Server バリアントで使用できます。これを使用すると、インストール後のスクリプトの一部として USGCB プロファイルに準拠するように OpenSCAP によりシステムが自動的に設定されます。インストールが完了したら、インストール済みシステムの
/root/
ディレクトリーに置かれたレポートを確認できます。
注記
scap-security-guide が提供するキックスタートファイルには、必要なすべてのコマンドが含まれており、インストールは完全に自動的に行われます。
また、最新のベンチマークをダウンロードするには、インストール中にキックスタートファイルがインターネットにアクセスする必要があることに注意してください。
OpenSCAP を使用したコンプライアンスおよび脆弱性スキャンの詳細は、Red Hat Enterprise Linux 6 セキュリティーガイド の該当する章を参照してください。
キックスタートファイルを取得するには、既存の Red Hat Enterprise Linux 6 システムに scap-security-guide パッケージをインストールします。パッケージがインストールされたら、キックスタートファイル
/usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg
にあります。
ファイルを取得したら、ホームディレクトリーにコピーし、プレーンテキストエディターで編集します。参考までに、ファイルの 「キックスタートのオプション」 およびコメントを使用します。コメントには Common Configuration Enumeration (CCE)識別子番号が示されています。これらの情報は CCE Archive で見つけることができます。
変更可能なキックスタートファイルの注目すべき部分は以下のとおりです。
- パッケージリポジトリーの場所 - url コマンドHTTP または FTP サーバーでパッケージリポジトリーを使用するには、デフォルトの IP アドレスを、パッケージリポジトリーを含むサーバーのアドレスに置き換えます。このコマンドを、それぞれ NFS サーバー、光学ドライブ、またはローカルハードドライブからインストールする nfs、cdrom、または harddrive のいずれかに置き換えます。
- システム言語、キーボードのレイアウト、タイムゾーン: lang コマンド、キーボード、および タイムゾーン コマンド。
- root パスワード - rootpw コマンドデフォルトでは、このキックスタートで設定した root パスワードは server です。必ず新しいチェックサムを生成して変更してください。
- ブートローダーのパスワード - ブートローダー --password= コマンドデフォルトのパスワードは password です。必ず新しいチェックサムを生成して変更してください。
- ネットワーク設定 - network コマンドDHCP を使用した自動設定はデフォルトで有効になっています。必要に応じて設定を調整します。
- パッケージの選択:ファイルの %packages セクションを変更して、必要なパッケージおよびグループをインストールします。重要パッケージ git、aide、および openscap-utils を常にインストールする必要があります。これらは、キックスタートファイルおよびインストール後の OpenSCAP システム評価が機能するために必要です。
- ディスクパーティションレイアウト: part コマンド、volgroup コマンド、および logvol コマンド。USGCB 標準は、準拠システムのディスクレイアウトの具体的な要件を定義します。つまり、デフォルトのキックスタートファイル(
/home
、/tmp
、/var/log
、および/
)で定義された論理ボリュームは、常に別のパーティションまたは論理ボリュームとして作成する必要があります。また、Red Hat Enterprise Linux では、var/
log/audit/
およびswap
の/boot
物理パーティションとボリュームを作成する必要があります。これらはすべてデフォルトのキックスタートで定義されているので、別の論理ボリュームまたはパーティションを追加して、デフォルトのサイズを変更できます。注記デフォルトでは、/var/log/audit
ボリュームは 512 MB の領域のみを使用します。大量の呼び出しが監査されるため、そのサイズを 1024 MB 以上に増やすことを強く推奨します。
残りのキックスタートファイルはそのまま使用できます。ファイルの変更が完了したら、「キックスタートブートメディアの作成」 に進んで ISO イメージに配置し、それを使用して新しいシステムをインストールします。