セキュリティーの強化

手順

1. システムのインストール開始時に、Red Hat Enterprise Linux ブートウィンドウが開き、利用可能なブートオプションが表示されたら、カーネルコマンドラインに fips=1 オプションを追加します。

   1. UEFI システムでは、e キーを押してカーソルを linuxefi カーネルコマンドラインの末尾に移動し、この行の末尾に fips=1 を追加します。次に例を示します。

      linuxefi /images/pxeboot/vmlinuz inst.stage2=hd:LABEL=RHEL-10-0-BaseOS-x86_64 rd.live.\
      check quiet fips=1

      Copy to Clipboard Toggle word wrap

   2. BIOS システムでは、Tab キーを押してカーソルをカーネルコマンドラインの末尾に移動し、この行の末尾に fips=1 を追加します。次に例を示します。

      > vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=RHEL-10-0-BaseOS-x86_64 rd.live.check quiet fips=1

      Copy to Clipboard Toggle word wrap
2. ソフトウェアの選択段階で、サードパーティーのソフトウェアをインストールしないでください。
3. インストール後に、システムは FIPS モードで自動的に起動します。

手順

1. 次の内容を含む、Tom’s Obvious, Minimal Language (TOML) 形式のプレーンテキストファイルを作成します。

   name = "system-fips-mode-enabled"
   description = "blueprint with FIPS enabled "
   version = "0.0.1"
   
   [customizations]
   fips = true
   
   [[customizations.user]]
   name = "admin"
   password = "admin"
   groups = ["users", "wheel"]

   Copy to Clipboard Toggle word wrap

2. ブループリントを RHEL Image Builder サーバーにインポートします。

   # composer-cli blueprints push blueprint-name.toml

   Copy to Clipboard Toggle word wrap

3. 既存のブループリントをリスト表示して、作成されたブループリントが正常にインポートされて存在するかどうかを確認します。

   # composer-cli blueprints show blueprint-name

   Copy to Clipboard Toggle word wrap

4. ブループリントに記載されているコンポーネントおよびバージョンと、その依存関係が有効かどうかを確認します。

   # composer-cli blueprints depsolve blueprint-name

   Copy to Clipboard Toggle word wrap

5. カスタマイズした RHEL イメージをビルドします。

   # composer-cli compose start \ blueprint-name \ image-type \

   Copy to Clipboard Toggle word wrap

6. イメージのステータスを確認します。

   # composer-cli compose status
   …
   $ UUID FINISHED date blueprint-name blueprint-version image-type
   …

   Copy to Clipboard Toggle word wrap

7. イメージをダウンロードします。

   # composer-cli compose image UUID

   Copy to Clipboard Toggle word wrap

   RHEL Image Builder により、イメージがカレントディレクトリーパスにダウンロードされます。UUID 番号とともにイメージサイズが表示されます。

   $ UUID-image-name.type: size MB

   Copy to Clipboard Toggle word wrap

検証

1. ブループリントで設定したユーザー名とパスワードを使用してシステムイメージにログインします。

2. FIPS モードが有効になっているかどうかを確認します。

   $ cat /proc/sys/crypto/fips_enabled
   1

   Copy to Clipboard Toggle word wrap

手順

1. 01-fips.toml を作成して FIPS の有効化を設定します。次に例を示します。

   # Enable FIPS
   kargs = ["fips=1"]

   Copy to Clipboard Toggle word wrap

2. 次の指示を含む Containerfile を作成して、fips=1 カーネル引数を有効にし、暗号化ポリシーを調整します。

   FROM registry.redhat.io/rhel10/rhel-bootc:latest
   # Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
   COPY 01-fips.toml /usr/lib/bootc/kargs.d/
   # Install and enable the FIPS crypto policy
   RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

   Copy to Clipboard Toggle word wrap

3. カレントディレクトリーの Containerfile を使用して、bootc <image> と互換性のあるベースディスクイメージを作成します。

   $ sudo podman run \
       --rm \
       -it \
       --privileged \
       --pull=newer \
       --security-opt label=type:unconfined_t \
       -v $(pwd)/config.toml:/config.toml:ro \
       -v $(pwd)/output:/output \
       -v /var/lib/containers/storage:/var/lib/containers/storage \
       registry.redhat.io/rhel10/bootc-image-builder:latest \
       --local
       --type qcow2 \
       --type iso \
       quay.io/<namespace>/<image>:<tag>

   Copy to Clipboard Toggle word wrap

4. システムのインストール中に FIPS モードを有効にします。

   1. RHEL Anaconda インストーラーを起動するときに、インストール画面で TAB キーを押して、fips=1 カーネル引数を追加します。

      インストール後に、システムは FIPS モードで自動的に起動します。

手順

1. オプション: 現在の暗号化ポリシーを表示します。

   $ update-crypto-policies --show
   DEFAULT

   Copy to Clipboard Toggle word wrap

2. 新しい暗号化ポリシーを設定します。

   # update-crypto-policies --set <POLICY>
   <POLICY>

   Copy to Clipboard Toggle word wrap

   <POLICY> は、設定するポリシーまたはサブポリシー (FUTURE、LEGACY、FIPS:OSPP など) に置き換えます。

3. システムを再起動します。

   # reboot

   Copy to Clipboard Toggle word wrap

手順

1. システム全体の暗号化ポリシーを LEGACY に切り替えるには、次のように入力します。

   # update-crypto-policies --set LEGACY
   Setting system policy to LEGACY

   Copy to Clipboard Toggle word wrap

   利用可能な暗号化ポリシーのリストについては、システム上の update-crypto-policies(8) man ページを参照してください。

2. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

   $ reboot

   Copy to Clipboard Toggle word wrap

手順

1. RHEL 10 Web コンソールにログインします。

2. Overview ページの Configuration カードで、Crypto policy の横にある現在のポリシー値をクリックします。

   

3. Change crypto policy ダイアログウィンドウで、システムで使用を開始するポリシーをクリックします。
4. Apply and reboot ボタンをクリックします。

手順

1. /etc/crypto-policies/policies/modules/ ディレクトリーをチェックアウトします。

   # cd /etc/crypto-policies/policies/modules/

   Copy to Clipboard Toggle word wrap

2. 調整用のサブポリシーを作成します。次に例を示します。

   # touch <MYCRYPTO-1>.pmod
   # touch <SCOPES-AND-WILDCARDS>.pmod

   Copy to Clipboard Toggle word wrap
   重要

   ポリシーモジュールのファイル名には大文字を使用します。

3. 任意のテキストエディターでポリシーモジュールを開き、システム全体の暗号化ポリシーを変更するオプションを挿入します。次に例を示します。

   # vi <MYCRYPTO-1>.pmod

   Copy to Clipboard Toggle word wrap

   min_rsa_size = 3072
   hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512

   Copy to Clipboard Toggle word wrap

   # vi <SCOPES-AND-WILDCARDS>.pmod

   Copy to Clipboard Toggle word wrap

   # Disable the AES-128 cipher, all modes
   cipher = -AES-128-*
   
   # Disable CHACHA20-POLY1305 for the TLS protocol (OpenSSL, GnuTLS, NSS, and OpenJDK)
   cipher@TLS = -CHACHA20-POLY1305
   
   # Allow using the FFDHE-1024 group with the SSH protocol (libssh and OpenSSH)
   group@SSH = FFDHE-1024+
   
   # Disable all CBC mode ciphers for the SSH protocol (libssh and OpenSSH)
   cipher@SSH = -*-CBC
   
   # Allow the AES-256-CBC cipher in applications using libssh
   cipher@libssh = AES-256-CBC+

   Copy to Clipboard Toggle word wrap
4. 変更をモジュールファイルに保存します。

5. ポリシーの調整を、システム全体の暗号化ポリシーレベル DEFAULT に適用します。

   # update-crypto-policies --set DEFAULT:<MYCRYPTO-1>:<SCOPES-AND-WILDCARDS>

   Copy to Clipboard Toggle word wrap

6. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

   # reboot

   Copy to Clipboard Toggle word wrap

手順

1. カスタマイズのポリシーファイルを作成します。

   # cd /etc/crypto-policies/policies/
   # touch <MYPOLICY>.pol

   Copy to Clipboard Toggle word wrap

   または、定義されている 4 つのポリシーレベルのいずれかをコピーします。

   # cp /usr/share/crypto-policies/policies/DEFAULT.pol /etc/crypto-policies/policies/<MYPOLICY>.pol

   Copy to Clipboard Toggle word wrap

2. 必要に応じて、テキストエディターでファイルを編集します。以下のようにしてカスタム暗号化ポリシーを使用します。

   # vi /etc/crypto-policies/policies/<MYPOLICY>.pol

   Copy to Clipboard Toggle word wrap

   完全な構文のリファレンスについては、システム上の update-crypto-policies(8) man ページの Custom Policies セクションと crypto-policies(7) man ページの Crypto Policy Definition Format セクションを参照してください。

3. システム全体の暗号化ポリシーをカスタムレベルに切り替えます。

   # update-crypto-policies --set <MYPOLICY>

   Copy to Clipboard Toggle word wrap

4. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

   # reboot

   Copy to Clipboard Toggle word wrap

手順

1. crypto-policies-pq-preview パッケージをインストールします。

   # dnf install -y crypto-policies-pq-preview

   Copy to Clipboard Toggle word wrap

2. 現在のシステム全体のポリシーに加えて TEST-PQ 暗号化サブポリシーを有効にします。次に例を示します。

   # update-crypto-policies --show
   DEFAULT
   # update-crypto-policies --set DEFAULT:TEST-PQ

   Copy to Clipboard Toggle word wrap

3. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

   # reboot

   Copy to Clipboard Toggle word wrap

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure cryptographic policies
     hosts: managed-node-01.example.com
     tasks:
       - name: Configure the FUTURE cryptographic security policy on the managed node
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.crypto_policies
         vars:
           - crypto_policies_policy: FUTURE
           - crypto_policies_reboot_ok: true

   Copy to Clipboard Toggle word wrap

   サンプル Playbook で指定されている設定は次のとおりです。

   crypto_policies_policy: FUTURE

   管理対象ノードで必要な暗号化ポリシー (FUTURE) を設定します。これは、基本ポリシー、またはいくつかのサブポリシーを含む基本ポリシーのどちらかです。指定した基本ポリシーとサブポリシーが、管理対象ノードで使用可能である必要があります。デフォルト値は null です。つまり、設定は変更されず、crypto_policies RHEL システムロールは Ansible ファクトのみを収集します。

   crypto_policies_reboot_ok: true

   すべてのサービスとアプリケーションが新しい設定ファイルを読み取るように、暗号化ポリシーの変更後にシステムを再起動します。デフォルト値は false です。

   ロール変数と暗号化設定オプションの詳細は、/usr/share/ansible/roles/rhel-system-roles.crypto_policies/README.md ファイルと、コントロールノードの update-crypto-policies(8) および crypto-policies(7) man ページを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard Toggle word wrap

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard Toggle word wrap

検証

1. コントロールノードで、たとえば verify_playbook.yml という名前の別の Playbook を作成します。

   ---
   - name: Verification
     hosts: managed-node-01.example.com
     tasks:
       - name: Verify active cryptographic policy
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.crypto_policies
       - name: Display the currently active cryptographic policy
         ansible.builtin.debug:
           var: crypto_policies_active

   Copy to Clipboard Toggle word wrap

   サンプル Playbook で指定されている設定は次のとおりです。

   crypto_policies_active

   crypto_policies_policy 変数で受け入れられる形式の現在アクティブなポリシー名が含まれているエクスポートされた Ansible ファクト。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/verify_playbook.yml

   Copy to Clipboard Toggle word wrap

3. Playbook を実行します。

   $ ansible-playbook ~/verify_playbook.yml
   TASK [debug] **************************
   ok: [host] => {
       "crypto_policies_active": "FUTURE"
   }

   Copy to Clipboard Toggle word wrap

   crypto_policies_active 変数は、管理対象ノード上のアクティブなポリシーを示します。

手順

1. PKCS #11 の URI を含む OpenSC PKCS #11 モジュールが提供する鍵のリストを表示し、その出力を keys.pub ファイルに保存します。

   $ ssh-keygen -D pkcs11: > keys.pub

   Copy to Clipboard Toggle word wrap

2. 公開鍵をリモートサーバーに転送します。ssh-copy-id コマンドを使用し、前の手順で作成した keys.pub ファイルを指定します。

   $ ssh-copy-id -f -i keys.pub <username@ssh-server-example.com>

   Copy to Clipboard Toggle word wrap

3. ECDSA 鍵を使用して <ssh-server-example.com> に接続します。鍵を一意に参照する URI のサブセットのみを使用することもできます。次に例を示します。

   $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

   OpenSSH は p11-kit-proxy ラッパーを使用し、OpenSC PKCS #11 モジュールが p11-kit ツールに登録されているため、前のコマンドを簡略化できます。

   $ ssh -i "pkcs11:id=%01" <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

   PKCS #11 の URI の id= の部分を飛ばすと、OpenSSH が、プロキシーモジュールで利用可能な鍵をすべて読み込みます。これにより、必要な入力の量を減らすことができます。

   $ ssh -i pkcs11: <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

4. オプション: ~/.ssh/config ファイルで同じ URI 文字列を使用して、設定を永続的にすることができます。

   $ cat ~/.ssh/config
   IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
   $ ssh <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard Toggle word wrap

   ssh クライアントユーティリティーが、この URI とスマートカードの鍵を自動的に使用するようになります。

手順

1. /etc/polkit-1/rules.d/ ディレクトリーに新規ファイルを作成します。

   # touch /etc/polkit-1/rules.d/00-test.rules

   Copy to Clipboard Toggle word wrap

2. 選択したエディターでファイルを編集します。以下に例を示します。

   # vi /etc/polkit-1/rules.d/00-test.rules

   Copy to Clipboard Toggle word wrap

3. 以下の行を挿入します。

   polkit.addRule(function(action, subject) {
     if (action.id == "org.debian.pcsc-lite.access_pcsc" ||
     	action.id == "org.debian.pcsc-lite.access_card") {
   	polkit.log("action=" + action);
   	polkit.log("subject=" + subject);
     }
   });

   Copy to Clipboard Toggle word wrap

   ファイルを保存して、エディターを終了します。

4. pcscd サービスおよび polkit サービスを再起動します。

   # systemctl restart pcscd.service pcscd.socket polkit.service

   Copy to Clipboard Toggle word wrap

検証

1. pcscd の認可リクエストを作成します。たとえば、Firefox の Web ブラウザーを開くか、opensc が提供する pkcs11-tool -L を使用します。

2. 拡張ログエントリーを表示します。以下に例を示します。

   # journalctl -u polkit --since "1 hour ago"
   polkitd[1224]: <no filename>:4: action=[Action id='org.debian.pcsc-lite.access_pcsc']
   polkitd[1224]: <no filename>:5: subject=[Subject pid=2020481 user=user' groups=user,wheel,mock,wireshark seat=null session=null local=true active=true]

   Copy to Clipboard Toggle word wrap

手順

1. データストリームファイルからセキュリティープロファイルの ID を見つけます。

   $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
   Profiles:
   …
     Title: Australian Cyber Security Centre (ACSC) Essential Eight
   	Id: xccdf_org.ssgproject.content_profile_e8
     Title: Health Insurance Portability and Accountability Act (HIPAA)
   	Id: xccdf_org.ssgproject.content_profile_hipaa
     Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 10
   	Id: xccdf_org.ssgproject.content_profile_pci-dss
   …

   Copy to Clipboard Toggle word wrap
2. オプション: XCCDF テーラリングファイルを使用してハードニングをカスタマイズする場合は、openscap-utils パッケージで提供される autotailor コマンドを使用できます。詳細は、autotailor を使用したセキュリティープロファイルのカスタマイズ を参照してください。

3. SCAP ソースデータストリームからキックスタートファイルを生成します。

   $ oscap xccdf generate fix --profile <profile_ID> --output <kickstart_file>.cfg --fix-type kickstart /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

   Copy to Clipboard Toggle word wrap

   テーラリングファイルを使用する場合は、--tailoring-file tailoring.xml オプションとカスタムプロファイル ID を使用して、生成されたキックスタートファイルにテーラリングファイルを埋め込みます。次に例を示します。

   $ oscap xccdf generate fix --tailoring-file tailoring.xml --profile <custom_profile_ID> --output <kickstart_file>.cfg --fix-type kickstart ./ssg-rhel10-ds.xml

   Copy to Clipboard Toggle word wrap

4. 生成された <kickstart_file>.cfg を確認し、デプロイメントのニーズに合わせて必要に応じて手動で変更します。ファイル内のコメントの指示に従ってください。

   注記

   変更の内容によっては、キックスタートファイルによってインストールされるシステムのコンプライアンスに影響が及ぶ可能性があります。たとえば、一部のセキュリティーポリシーには、定義済みのパーティションや特定のパッケージおよびサービスが必要です。

5. インストール用のキックスタートファイルを使用します。インストーラーがキックスタートを使用できるように、キックスタートを Web サーバー経由で提供するか、PXE で提供するか、ISO イメージに埋め込みます。詳細な手順については、「RHEL の自動インストール」ドキュメントの RHEL の完全自動および半自動インストール の章を参照してください。
6. インストールが完了すると、システムが自動的に再起動します。再起動後、ログインして、/root ディレクトリーに保存されているインストール SCAP レポートを確認します。

手順

1. autotailor コマンドを使用して、プロファイルのテーラリングファイルを作成します。次に例を示します。

   $ autotailor \ --select=<rule_ID_1> \ --select=<rule_ID_2> \ --unselect=<rule_ID_3> \ --var-value=<value_ID_1>=<value_1> \ --var-value=<value_ID_2>=<value_2> \ --output=<tailoring.xml> \ --tailored-profile-id=<custom_profile_ID> \ /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml <profile_ID>

   Copy to Clipboard Toggle word wrap

   ここでは、以下のようになります。

   • <customization_options> はプロファイルの変更内容です。次の 1 つ以上のオプションを使用します。

     --select=<rule_ID>

     既存のルールをプロファイルに追加します。

     --unselect=<rule_ID>

     プロファイルからルールを削除します。

     --var-value=<value_ID>=<value>

     事前設定された値をオーバーライドします。たとえば、var_sshd_max_sessions を 10 に設定するには、--var-value=var_sshd_max_sessions=10 を使用します。

   • <tailoring.xml> は、autotailor がテーラリングを保存するファイル名です。
   • <custom_profile_ID> は、autotailor がカスタマイズを保存するプロファイル ID です (例: custom_cis)。
   • <profile_ID> は、システムが準拠する必要があるプロファイル ID です (例: cis)。
   注記

   すべてのプロファイル、ルール、および変数 XCCDF ID に、完全な名前空間識別子または短縮 ID のいずれかを使用できます。短縮 ID は、autotailor により、名前空間接頭辞を使用して自動的に拡張されます。たとえば、cis は xccdf_org.ssgproject.content_profile_cis と同等です。

   --id-namespace オプションを使用すると、デフォルトの名前空間 org.ssgproject.content をオーバーライドできます。

2. オプション: JSON Tailoring 形式で定義したカスタマイズに基づいてテーラリングファイルを作成します。

   $ autotailor --output=<tailoring.xml> --json-tailoring=<json_tailoring.json>

   Copy to Clipboard Toggle word wrap

   以下のように置き換えます。

   • <json_tailoring.json> は、JSON Tailoring 定義を含むファイル名です。
   注記

   --json-tailoring は、コマンドラインのカスタマイズ --select、--unselect、および --var-value と組み合わせることができます。その場合、コマンドラインのカスタマイズが JSON Tailoring よりも優先されます。

手順

1. Keylime verifier をインストールします。

   # dnf install keylime-verifier

   Copy to Clipboard Toggle word wrap

2. /etc/keylime/verifier.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-verifier-ip.conf など) を作成して、verifier の IP アドレスとポートを定義します。

   [verifier]
   ip = <verifier_IP_address>

   Copy to Clipboard Toggle word wrap
   • <verifier_IP_address> は、verifier の IP アドレスに置き換えます。あるいは、ip = * または ip = 0.0.0.0 を使用して、使用可能なすべての IP アドレスに verifier をバインドします。
   • 必要に応じて、port オプションを使用して、verifier のポートをデフォルト値 8881 から変更することもできます。

3. オプション: エージェントのリスト用に verifier のデータベースを設定します。デフォルトの設定では、verifier の /var/lib/keylime/cv_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/verifier.conf.d/ ディレクトリーに次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-db-url.conf など) を作成することで、別のデータベースを定義できます。

   [verifier]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard Toggle word wrap

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://verifier:UQ?nRNY9g7GZzN7@198.51.100.1/verifierdb) に置き換えます。

   使用する認証情報が、Keylime にデータベース構造を作成するための権限を提供していることを確認してください。

4. verifier に証明書と鍵を追加します。Keylime にそれらを生成させることも、既存の鍵と証明書を使用することもできます。

   • デフォルトの tls_dir =generate オプションを使用すると、Keylime は verifier、registrar、およびテナントの新しい証明書を /var/lib/keylime/cv_ca/ ディレクトリーに生成します。

   • 既存の鍵と証明書を設定にロードするには、verifier 設定でそれらの場所を定義します。Keylime サービスの実行者である keylime ユーザーが証明書にアクセスできる必要があります。

     /etc/keylime/verifier.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-keys-and-certs.conf など) を作成します。

     [verifier]
     tls_dir = /var/lib/keylime/cv_ca
     server_key = </path/to/server_key>
     server_key_password = <passphrase1>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']
     client_key = </path/to/client_key>
     client_key_password = <passphrase2>
     client_cert = </path/to/client_cert>
     trusted_server_ca = ['</path/to/ca/cert3>', '</path/to/ca/cert4>']

     Copy to Clipboard Toggle word wrap
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。また、相対パスは tls_dir オプションで定義されたディレクトリーから解決されます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8881/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

   別のポートを使用する場合は、8881 を .conf ファイルで定義されているポート番号に置き換えます。

6. verifier サービスを開始します。

   # systemctl enable --now keylime_verifier

   Copy to Clipboard Toggle word wrap
   注記

   デフォルト設定では、verifier が他の Keylime コンポーネントの CA と証明書を作成するため、keylime_registrar サービスを起動する前に keylime_verifier を起動します。カスタム証明書を使用する場合、この順序で起動する必要はありません。

手順

1. オプション: 設定ファイルにアクセスするには、keylime-verifier パッケージをインストールします。このパッケージがなくてもコンテナーを設定することはできますが、パッケージに付属する設定ファイルを変更する方が簡単な場合があります。

   # dnf install keylime-verifier

   Copy to Clipboard Toggle word wrap

2. /etc/keylime/verifier.conf.d/ ディレクトリーに新しい .conf ファイル (例: /etc/keylime/verifier.conf.d/00-verifier-ip.conf) を作成し、次の内容を記述して、verifier をすべての使用可能な IP アドレスにバインドします。

   [verifier]
   ip = *

   Copy to Clipboard Toggle word wrap
   • 必要に応じて、port オプションを使用して、verifier のポートをデフォルト値 8881 から変更することもできます。

3. オプション: エージェントのリスト用に verifier のデータベースを設定します。デフォルトの設定では、verifier の /var/lib/keylime/cv_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/verifier.conf.d/ ディレクトリーに次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-db-url.conf など) を作成することで、別のデータベースを定義できます。

   [verifier]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard Toggle word wrap

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://verifier:UQ?nRNY9g7GZzN7@198.51.100.1/verifierdb) に置き換えます。

   使用する認証情報に、Keylime がデータベース構造を作成するための権限があることを確認してください。

4. verifier に証明書と鍵を追加します。Keylime にそれらを生成させることも、既存の鍵と証明書を使用することもできます。

   • デフォルトの tls_dir =generate オプションを使用すると、Keylime は verifier、registrar、およびテナントの新しい証明書を /var/lib/keylime/cv_ca/ ディレクトリーに生成します。

   • 既存の鍵と証明書を設定にロードするには、verifier 設定でそれらの場所を定義します。Keylime プロセスの実行者である keylime ユーザーが証明書にアクセスできる必要があります。

     /etc/keylime/verifier.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-keys-and-certs.conf など) を作成します。

     [verifier]
     tls_dir = /var/lib/keylime/cv_ca
     server_key = </path/to/server_key>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']
     client_key = </path/to/client_key>
     client_cert = </path/to/client_cert>
     trusted_server_ca = ['</path/to/ca/cert3>', '</path/to/ca/cert4>']

     Copy to Clipboard Toggle word wrap
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。また、相対パスは tls_dir オプションで定義されたディレクトリーから解決されます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8881/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

   別のポートを使用する場合は、8881 を .conf ファイルで定義されているポート番号に置き換えます。

6. コンテナーを実行します。

   $ podman run --name keylime-verifier \
     -p 8881:8881 \
     -v /etc/keylime/verifier.conf.d:/etc/keylime/verifier.conf.d:Z \
     -v /var/lib/keylime/cv_ca:/var/lib/keylime/cv_ca:Z \
     -d \
     -e KEYLIME_VERIFIER_SERVER_KEY_PASSWORD=<passphrase1> \
     -e KEYLIME_VERIFIER_CLIENT_KEY_PASSWORD=<passphrase2> \
     registry.access.redhat.com/rhel9/keylime-verifier

   Copy to Clipboard Toggle word wrap
   • -p オプションは、ホスト上とコンテナー上のデフォルトポート 8881 を開きます。

   • -v オプションは、コンテナーへのディレクトリーのバインドマウントを作成します。

     • Z オプションを指定すると、Podman がコンテンツにプライベート非共有ラベルを付けます。つまり、現在のコンテナーだけがプライベートボリュームを使用できます。
   • -d オプションは、コンテナーをデタッチしてバックグラウンドで実行します。
   • オプション -e KEYLIME_VERIFIER_SERVER_KEY_PASSWORD=<passphrase1> は、サーバーの鍵のパスフレーズを定義します。
   • オプション -e KEYLIME_VERIFIER_CLIENT_KEY_PASSWORD=<passphrase2> は、クライアントの鍵のパスフレーズを定義します。
   • オプション -e KEYLIME_VERIFIER_<ENVIRONMENT_VARIABLE>=<value> を指定すると、環境変数で設定オプションをオーバーライドできます。複数のオプションを変更するには、環境変数ごとに -e オプションを個別に挿入します。環境変数とそのデフォルト値の完全なリストは、Keylime の環境変数 を参照してください。

手順

1. Keylime registrar をインストールします。

   # dnf install keylime-registrar

   Copy to Clipboard Toggle word wrap

2. /etc/keylime/registrar.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/registrar.conf.d/00-registrar-ip.conf など) を作成して、registrar の IP アドレスとポートを定義します。

   [registrar]
   ip = <registrar_IP_address>

   Copy to Clipboard Toggle word wrap
   • <registrar_IP_address> を registrar の IP アドレスに置き換えます。あるいは、ip = * または ip = 0.0.0.0 を使用して、使用可能なすべての IP アドレスに registrar をバインドします。
   • 必要に応じて、port オプションを使用して、Keylime エージェントが接続するポートを変更します。デフォルト値は 8890 です。
   • 必要に応じて、tls_port オプションを使用して、Keylime verifier とテナントが接続する TLS ポートを変更します。デフォルト値は 8891 です。

3. オプション: エージェントのリスト用に registrar のデータベースを設定します。デフォルト設定では、registrar の /var/lib/keylime/reg_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/registrar.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/registrar.conf.d/00-db-url.conf など) を作成できます。

   [registrar]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard Toggle word wrap

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://registrar:EKYYX-bqY2?#raXm@198.51.100.1/registrardb) に置き換えます。

   使用する認証情報に、Keylime がデータベース構造を作成するための権限があることを確認してください。

4. registrar に証明書と鍵を追加します。

   • デフォルトの設定を使用して、鍵と証明書を /var/lib/keylime/reg_ca ディレクトリーにロードできます。

   • または、設定で鍵と証明書の場所を定義することもできます。/etc/keylime/registrar.conf.d/ ディレクトリーに新しい .conf ファイルを作成します (例: /etc/keylime/registrar.conf.d/00-keys-and-certs.conf の内容は次のとおりです)。

     [registrar]
     tls_dir = /var/lib/keylime/reg_ca
     server_key = </path/to/server_key>
     server_key_password = <passphrase1>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']

     Copy to Clipboard Toggle word wrap
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。または、tls_dir オプションでディレクトリーを定義し、そのディレクトリーからの相対パスを使用することもできます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8890/tcp --add-port 8891/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

   別のポートを使用する場合は、8890 または 8891 を .conf ファイルで定義されているポート番号に置き換えます。

6. keylime_registrar サービスを起動します。

   # systemctl enable --now keylime_registrar

   Copy to Clipboard Toggle word wrap
   注記

   デフォルト設定では、verifier が他の Keylime コンポーネントの CA と証明書を作成するため、keylime_registrar サービスを起動する前に keylime_verifier を起動します。カスタム証明書を使用する場合、この順序で起動する必要はありません。

手順

1. オプション: 設定ファイルにアクセスするには、keylime-registrar パッケージをインストールします。このパッケージがなくてもコンテナーを設定することはできますが、パッケージに付属する設定ファイルを変更する方が簡単な場合があります。

   # dnf install keylime-registrar

   Copy to Clipboard Toggle word wrap

2. /etc/keylime/registrar.conf.d/ ディレクトリーに新しい .conf ファイル (例: /etc/keylime/registrar.conf.d/00-registrar-ip.conf) を作成し、次の内容を記述して、registrar を使用可能なすべての IP アドレスにバインドします。

   [registrar]
   ip = *

   Copy to Clipboard Toggle word wrap
   • 必要に応じて、port オプションを使用して、Keylime エージェントが接続するポートを変更します。デフォルト値は 8890 です。
   • 必要に応じて、tls_port オプションを使用して、Keylime テナントが接続する TLS ポートを変更します。デフォルト値は 8891 です。

3. オプション: エージェントのリスト用に registrar のデータベースを設定します。デフォルト設定では、registrar の /var/lib/keylime/reg_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/registrar.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/registrar.conf.d/00-db-url.conf など) を作成できます。

   [registrar]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard Toggle word wrap

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://registrar:EKYYX-bqY2?#raXm@198.51.100.1/registrardb) に置き換えます。

   使用する認証情報に、Keylime がデータベース構造を作成するための権限があることを確認してください。

4. registrar に証明書と鍵を追加します。

   • デフォルトの設定を使用して、鍵と証明書を /var/lib/keylime/reg_ca ディレクトリーにロードできます。

   • または、設定で鍵と証明書の場所を定義することもできます。/etc/keylime/registrar.conf.d/ ディレクトリーに新しい .conf ファイルを作成します (例: /etc/keylime/registrar.conf.d/00-keys-and-certs.conf の内容は次のとおりです)。

     [registrar]
     tls_dir = /var/lib/keylime/reg_ca
     server_key = </path/to/server_key>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']

     Copy to Clipboard Toggle word wrap
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。または、tls_dir オプションでディレクトリーを定義し、そのディレクトリーからの相対パスを使用することもできます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8890/tcp --add-port 8891/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

   別のポートを使用する場合は、8890 または 8891 を .conf ファイルで定義されているポート番号に置き換えます。

6. コンテナーを実行します。

   $ podman run --name keylime-registrar \
     -p 8890:8890 \
     -p 8891:8891 \
     -v /etc/keylime/registrar.conf.d:/etc/keylime/registrar.conf.d:Z \
     -v /var/lib/keylime/reg_ca:/var/lib/keylime/reg_ca:Z \
     -d \
     -e KEYLIME_REGISTRAR_SERVER_KEY_PASSWORD=<passphrase1> \
     registry.access.redhat.com/rhel9/keylime-registrar

   Copy to Clipboard Toggle word wrap
   • -p オプションは、ホスト上とコンテナー上のデフォルトポート 8890 および 8881 を開きます。

   • -v オプションは、コンテナーへのディレクトリーのバインドマウントを作成します。

     • Z オプションを指定すると、Podman がコンテンツにプライベート非共有ラベルを付けます。つまり、現在のコンテナーだけがプライベートボリュームを使用できます。
   • -d オプションは、コンテナーをデタッチしてバックグラウンドで実行します。
   • オプション -e KEYLIME_VERIFIER_SERVER_KEY_PASSWORD=<passphrase1> は、サーバーの鍵のパスフレーズを定義します。
   • オプション -e KEYLIME_REGISTRAR__<ENVIRONMENT_VARIABLE>=<value> を指定すると、環境変数で設定オプションをオーバーライドできます。複数のオプションを変更するには、環境変数ごとに -e オプションを個別に挿入します。環境変数とそのデフォルト値の完全なリストは、「Keylime の環境変数」 を参照してください。

手順

1. 必要なロールを定義する Playbook を作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      # vi keylime-playbook.yml

      Copy to Clipboard Toggle word wrap

   2. 以下の内容を挿入します。

      ---
      - name: Manage keylime servers
        hosts: all
        vars:
          keylime_server_verifier_ip: "{{ ansible_host }}"
          keylime_server_registrar_ip: "{{ ansible_host }}"
          keylime_server_verifier_tls_dir: <ver_tls_directory>
          keylime_server_verifier_server_cert: <ver_server_certfile>
          keylime_server_verifier_server_key: <ver_server_key>
          keylime_server_verifier_server_key_passphrase: <ver_server_key_passphrase>
          keylime_server_verifier_trusted_client_ca: <ver_trusted_client_ca_list>
          keylime_server_verifier_client_cert: <ver_client_certfile>
          keylime_server_verifier_client_key: <ver_client_key>
          keylime_server_verifier_client_key_passphrase: <ver_client_key_passphrase>
          keylime_server_verifier_trusted_server_ca: <ver_trusted_server_ca_list>
          keylime_server_registrar_tls_dir: <reg_tls_directory>
          keylime_server_registrar_server_cert: <reg_server_certfile>
          keylime_server_registrar_server_key: <reg_server_key>
          keylime_server_registrar_server_key_passphrase: <reg_server_key_passphrase>
          keylime_server_registrar_trusted_client_ca: <reg_trusted_client_ca_list>
        roles:
          - rhel-system-roles.keylime_server

      Copy to Clipboard Toggle word wrap

      変数の詳細は、keylime_server RHEL システムロールの変数 を参照してください。

2. Playbook を実行します。

   $ ansible-playbook <keylime-playbook.yml>

   Copy to Clipboard Toggle word wrap

検証

1. keylime_verifier サービスがアクティブであり、管理対象ホスト上で実行されていることを確認します。

   # systemctl status keylime_verifier
   ● keylime_verifier.service - The Keylime verifier
        Loaded: loaded (/usr/lib/systemd/system/keylime_verifier.service; disabled; vendor preset: disabled)
        Active: active (running) since Wed 2022-11-09 10:10:08 EST; 1min 45s ago

   Copy to Clipboard Toggle word wrap

2. keylime_registrar サービスがアクティブで実行中であることを確認します。

   # systemctl status keylime_registrar
   ● keylime_registrar.service - The Keylime registrar service
        Loaded: loaded (/usr/lib/systemd/system/keylime_registrar.service; disabled; vendor preset: disabled)
        Active: active (running) since Wed 2022-11-09 10:10:17 EST; 1min 42s ago
   ...

   Copy to Clipboard Toggle word wrap

手順

1. Keylime テナントをインストールします。

   # dnf install keylime-tenant

   Copy to Clipboard Toggle word wrap

2. /etc/keylime/tenant.conf.d/00-verifier-ip.conf ファイルを編集して、Keylime verifier へのテナントの接続を定義します。

   [tenant]
   verifier_ip = <verifier_ip>

   Copy to Clipboard Toggle word wrap
   • <verifier_ip> は、verifier のシステムの IP アドレスに置き換えます。
   • verifier がデフォルト値 8881 とは異なるポートを使用する場合は、verifier_port = <verifier_port> 設定を追加します。

3. /etc/keylime/tenant.conf.d/00-registrar-ip.conf ファイルを編集して、Keylime registrar へのテナントの接続を定義します。

   [tenant]
   registrar_ip = <registrar_ip>

   Copy to Clipboard Toggle word wrap
   • <registrar_ip> は、registrar のシステムの IP アドレスに置き換えます。
   • registrar がデフォルト値 8891 とは異なるポートを使用する場合は、registrar_port = <registrar_port> 設定を追加します。

4. テナントに証明書と鍵を追加します。

   1. デフォルトの設定を使用して、鍵と証明書を /var/lib/keylime/cv_ca ディレクトリーにロードできます。

   2. または、設定で鍵と証明書の場所を定義することもできます。/etc/keylime/tenant.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/tenant.conf.d/00-keys-and-certs.conf など) を作成します。

      [tenant]
      tls_dir = /var/lib/keylime/cv_ca
      client_key = tenant-key.pem
      client_key_password = <passphrase1>
      client_cert = tenant-cert.pem
      trusted_server_ca = ['</path/to/ca/cert>']

      Copy to Clipboard Toggle word wrap

      trusted_server_ca パラメーターは、verifier および registrar サーバーの CA 証明書へのパスを受け入れます。verifier と registrar が異なる CA を使用する場合などに、複数のコンマ区切りのパスを指定できます。

      注記

      絶対パスを使用して、鍵と証明書の場所を定義します。または、tls_dir オプションでディレクトリーを定義し、そのディレクトリーからの相対パスを使用することもできます。

5. オプション: /var/lib/keylime/tpm_cert_store ディレクトリー内の証明書を使用して Trusted Platform Module (TPM) の保証鍵 (EK) を検証できない場合は、証明書をそのディレクトリーに追加します。これは、エミュレートされた TPM を備えた仮想マシンを使用する場合に特に発生する可能性があります。

検証

1. verifier のステータスを確認します。

   # keylime_tenant -c cvstatus
   Reading configuration from ['/etc/keylime/logging.conf']
   2022-10-14 12:56:08.155 - keylime.tpm - INFO - TPM2-TOOLS Version: 5.2
   Reading configuration from ['/etc/keylime/tenant.conf']
   2022-10-14 12:56:08.157 - keylime.tenant - INFO - Setting up client TLS...
   2022-10-14 12:56:08.158 - keylime.tenant - INFO - Using default client_cert option for tenant
   2022-10-14 12:56:08.158 - keylime.tenant - INFO - Using default client_key option for tenant
   2022-10-14 12:56:08.178 - keylime.tenant - INFO - TLS is enabled.
   2022-10-14 12:56:08.178 - keylime.tenant - WARNING - Using default UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000
   2022-10-14 12:56:08.221 - keylime.tenant - INFO - Verifier at 127.0.0.1 with Port 8881 does not have agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000.

   Copy to Clipboard Toggle word wrap

   正しくセットアップされていて、エージェントが設定されていない場合、verifier は、デフォルトのエージェント UUID を認識しないと応答します。

2. registrar のステータスを確認します。

   # keylime_tenant -c regstatus
   Reading configuration from ['/etc/keylime/logging.conf']
   2022-10-14 12:56:02.114 - keylime.tpm - INFO - TPM2-TOOLS Version: 5.2
   Reading configuration from ['/etc/keylime/tenant.conf']
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Setting up client TLS...
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Using default client_cert option for tenant
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Using default client_key option for tenant
   2022-10-14 12:56:02.137 - keylime.tenant - INFO - TLS is enabled.
   2022-10-14 12:56:02.137 - keylime.tenant - WARNING - Using default UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000
   2022-10-14 12:56:02.171 - keylime.registrar_client - CRITICAL - Error: could not get agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 data from Registrar Server: 404
   2022-10-14 12:56:02.172 - keylime.registrar_client - CRITICAL - Response code 404: agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 not found
   2022-10-14 12:56:02.172 - keylime.tenant - INFO - Agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 does not exist on the registrar. Please register the agent with the registrar.
   2022-10-14 12:56:02.172 - keylime.tenant - INFO - {"code": 404, "status": "Agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 does not exist on registrar 127.0.0.1 port 8891.", "results": {}}

   Copy to Clipboard Toggle word wrap

   正しくセットアップされていて、エージェントが設定されていない場合、registrar は、デフォルトのエージェント UUID を認識しないと応答します。

手順

1. Keylime エージェントをインストールします。

   # dnf install keylime-agent

   Copy to Clipboard Toggle word wrap

   このコマンドは、keylime-agent-rust パッケージをインストールします。

2. 設定ファイルでエージェントの IP アドレスとポートを定義します。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-agent-ip.conf など) を作成します。

   [agent]
   ip = '<agent_ip>'

   Copy to Clipboard Toggle word wrap
   注記

   Keylime エージェントの設定では TOML 形式が使用されます。これは、他のコンポーネントの設定に使用される INI 形式とは異なります。したがって、値は有効な TOML 構文で入力してください。たとえば、パスは一重引用符で囲み、複数のパスの配列は角括弧で囲みます。

   • <agent_IP_address> は、エージェントの IP アドレスに置き換えます。あるいは、ip = '*' または ip = '0.0.0.0' を使用して、使用可能なすべての IP アドレスにエージェントをバインドします。
   • 必要に応じて、port = '<agent_port>' オプションを使用して、エージェントのポートをデフォルト値 9002 から変更することもできます。

3. 設定ファイルで registrar の IP アドレスとポートを定義します。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-registrar-ip.conf など) を作成します。

   [agent]
   registrar_ip = '<registrar_IP_address>'

   Copy to Clipboard Toggle word wrap
   • <registrar_IP_address> を registrar の IP アドレスに置き換えます。
   • 必要に応じて、registrar_port = '<registrar_port>' オプションを使用して、registrar のポートをデフォルト値 8890 から変更することもできます。

4. オプション: エージェントの汎用一意識別子 (UUID) を定義します。定義されていない場合は、デフォルトの UUID が使用されます。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-agent-uuid.conf など) を作成します。

   [agent]
   uuid = '<agent_UUID>'

   Copy to Clipboard Toggle word wrap
   • <agent_UUID> は、エージェントの UUID に置き換えます (例: d432fbb3-d2f1-4a97-9ef7-abcdef012345)。uuidgen ユーティリティーを使用して UUID を生成できます。

5. オプション: エージェントの既存のキーと証明書を読み込みます。エージェントが server_key と server_cert を受信しない場合、エージェントは独自の鍵と自己署名証明書を生成します。

   設定で鍵と証明書の場所を定義します。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-keys-and-certs.conf など) を作成します。

   [agent]
   server_key = '</path/to/server_key>'
   server_key_password = '<passphrase1>'
   server_cert = '</path/to/server_cert>'
   trusted_client_ca = '[</path/to/ca/cert3>, </path/to/ca/cert4>]'

   Copy to Clipboard Toggle word wrap
   注記

   絶対パスを使用して、鍵と証明書の場所を定義します。Keylime エージェントは相対パスを受け入れません。

6. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 9002/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard Toggle word wrap

   別のポートを使用する場合は、9002 を .conf ファイルで定義されているポート番号に置き換えます。

7. keylime_agent サービスを有効にして起動します。

   # systemctl enable --now keylime_agent

   Copy to Clipboard Toggle word wrap

8. オプション: Keylime テナントが設定されているシステムから、エージェントが正しく設定されており、registrar に接続できることを確認します。

   # keylime_tenant -c regstatus --uuid <agent_uuid>
   Reading configuration from ['/etc/keylime/logging.conf']
   ...
   ==\n-----END CERTIFICATE-----\n", "ip": "127.0.0.1", "port": 9002, "regcount": 1, "operational_state": "Registered"}}}

   Copy to Clipboard Toggle word wrap

   • <agent_uuid> は、エージェントの UUID に置き換えます。

     registrar と agent が正しく設定されている場合、出力にはエージェントの IP アドレスとポートが表示され、その後に "operational_state": "Registered" が表示されます。

9. /etc/ima/ima-policy ファイルに次の内容を入力して、新しい IMA ポリシーを作成します。

   # PROC_SUPER_MAGIC = 0x9fa0
   dont_measure fsmagic=0x9fa0
   # SYSFS_MAGIC = 0x62656572
   dont_measure fsmagic=0x62656572
   # DEBUGFS_MAGIC = 0x64626720
   dont_measure fsmagic=0x64626720
   # TMPFS_MAGIC = 0x01021994
   dont_measure fsmagic=0x1021994
   # RAMFS_MAGIC
   dont_measure fsmagic=0x858458f6
   # DEVPTS_SUPER_MAGIC=0x1cd1
   dont_measure fsmagic=0x1cd1
   # BINFMTFS_MAGIC=0x42494e4d
   dont_measure fsmagic=0x42494e4d
   # SECURITYFS_MAGIC=0x73636673
   dont_measure fsmagic=0x73636673
   # SELINUX_MAGIC=0xf97cff8c
   dont_measure fsmagic=0xf97cff8c
   # SMACK_MAGIC=0x43415d53
   dont_measure fsmagic=0x43415d53
   # NSFS_MAGIC=0x6e736673
   dont_measure fsmagic=0x6e736673
   # EFIVARFS_MAGIC
   dont_measure fsmagic=0xde5e81e4
   # CGROUP_SUPER_MAGIC=0x27e0eb
   dont_measure fsmagic=0x27e0eb
   # CGROUP2_SUPER_MAGIC=0x63677270
   dont_measure fsmagic=0x63677270
   # OVERLAYFS_MAGIC
   # when containers are used we almost always want to ignore them
   dont_measure fsmagic=0x794c7630
   # MEASUREMENTS
   measure func=BPRM_CHECK
   measure func=FILE_MMAP mask=MAY_EXEC
   measure func=MODULE_CHECK uid=0

   Copy to Clipboard Toggle word wrap

   このポリシーは、実行されたアプリケーションのランタイム監視をターゲットとしています。このポリシーは状況に応じて調整できます。MAGIC 定数については、statfs(2) man ページを参照してください。

10. カーネルパラメーターを更新します。

    # grubby --update-kernel DEFAULT --args 'ima_appraise=fix ima_canonical_fmt ima_policy=tcb ima_template=ima-ng'

    Copy to Clipboard Toggle word wrap
11. システムを再起動して、新しい IMA ポリシーを適用します。

検証

1. エージェントが実行されていることを確認します。

   # systemctl status keylime_agent
   ● keylime_agent.service - The Keylime compute agent
        Loaded: loaded (/usr/lib/systemd/system/keylime_agent.service; enabled; preset: disabled)
        Active: active (running) since ...

   Copy to Clipboard Toggle word wrap

手順

1. Keylime エージェントが設定され実行されている監視対象システムに、keylime-policy ツールを含む python3-keylime パッケージをインストールします。

   # dnf -y install python3-keylime

   Copy to Clipboard Toggle word wrap

2. エージェントシステムの現在の状態からランタイムポリシーを作成します。

   # keylime-policy create runtime --ima-measurement --rootfs '/' --ramdisk-dir '/boot/' --output <policy.json>

   Copy to Clipboard Toggle word wrap

   このコマンドの詳細は次のとおりです。

   • <policy.json> はランタイムポリシーのファイル名に置き換えます。

   • 次のディレクトリーは測定から自動的に除外されます。

     • /sys
     • /run
     • /proc
     • /lost+found
     • /dev
     • /media
     • /snap
     • /mnt
     • /var
     • /tmp
   • 必要に応じて、--excludelist <excludelist.txt> オプションを追加して、追加の特定のパスを測定から除外することもできます。除外リストでは、1 行に 1 つの Python 正規表現を使用できます。特殊文字の完全なリストは、docs.python.org の Regular expression operations を参照してください。

3. 生成されたランタイムポリシーを、keylime_tenant ユーティリティーが設定されているシステムにコピーします。次に例を示します。

   # scp <policy.json> root@<tenant.ip>:/root/<policy.json>

   Copy to Clipboard Toggle word wrap

4. Keylime テナントが設定されているシステムで、keylime_tenant ユーティリティーを使用してエージェントをプロビジョニングします。

   # keylime_tenant --command add --targethost <agent_ip> --uuid <agent_uuid> --runtime-policy <policy.json> --cert default

   Copy to Clipboard Toggle word wrap
   • <agent_ip> は、エージェントの IP アドレスに置き換えます。
   • <agent_uuid> は、エージェントの UUID に置き換えます。
   • <policy.json> を Keylime ランタイムポリシーファイルへのパスに置き換えます。

   • --cert オプションを使用すると、テナントは、指定されたディレクトリーまたはデフォルトの /var/lib/keylime/ca/ ディレクトリーにある CA 証明書と鍵を使用して、エージェントの証明書を生成し、署名します。ディレクトリーに CA 証明書と鍵が含まれていない場合、テナントは /etc/keylime/ca.conf ファイルの設定に従ってそれらを自動的に生成し、指定されたディレクトリーに保存します。その後、テナントはこれらの鍵と証明書をエージェントに送信します。

     CA 証明書または署名エージェント証明書を生成するときに、CA 秘密鍵にアクセスするためのパスワードの入力を求められる (Please enter the password to decrypt your keystore:) 場合があります。

     注記

     Keylime はエージェントに送信されたファイルを暗号化し、エージェントのシステムが TPM ポリシーと IMA 許可リストに準拠している場合にのみ復号化します。デフォルトでは、Keylime は送信された .zip ファイルを展開します。

   たとえば、次のコマンドを使用すると、keylime_tenant は UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000 を持つ新しい Keylime エージェントを 127.0.0.1 にプロビジョニングし、policy.json というランタイムポリシーをロードします。また、デフォルトのディレクトリーに証明書を生成し、その証明書ファイルをエージェントに送信します。Keylime は、/etc/keylime/verifier.conf で設定された TPM ポリシーが満たされている場合にのみ、ファイルを復号化します。

   # keylime_tenant --command add --targethost 127.0.0.1 --uuid d432fbb3-d2f1-4a97-9ef7-75bd81c00000 --runtime-policy policy.json --cert default

   Copy to Clipboard Toggle word wrap
   注記

   # keylime_tenant --command delete --uuid <agent_uuid> コマンドを使用して、Keylime によるノードの監視を停止できます。

   keylime_tenant --command update コマンドを使用して、すでに登録されているエージェントの設定を変更できます。

検証

1. オプション: 監視対象システムを再起動して、設定が永続的であることを確認します。

2. エージェントのアテステーションが成功することを確認します。

   # keylime_tenant --command cvstatus --uuid <agent_uuid>
   ...
   {"<agent_uuid>": {"operational_state": "Get Quote"..."attestation_count": 5
   ...

   Copy to Clipboard Toggle word wrap

   <agent_uuid> は、エージェントの UUID に置き換えます。

   operational_state の値が Get Quote で、attestation_count が 0 以外の場合、このエージェントのアテステーションは成功しています。

   operational_state の値が Invalid Quote または Failed の場合、アテステーションは失敗しており、次のようなコマンド出力が表示されます。

   {"<agent_uuid>": {"operational_state": "Invalid Quote", ... "ima.validation.ima-ng.not_in_allowlist", "attestation_count": 5, "last_received_quote": 1684150329, "last_successful_attestation": 1684150327}}

   Copy to Clipboard Toggle word wrap

3. アテステーションが失敗した場合は、verifier ログで詳細を表示します。

   # journalctl --unit keylime_verifier
   keylime.tpm - INFO - Checking IMA measurement list...
   keylime.ima - WARNING - File not found in allowlist: /root/bad-script.sh
   keylime.ima - ERROR - IMA ERRORS: template-hash 0 fnf 1 hash 0 good 781
   keylime.cloudverifier - WARNING - agent D432FBB3-D2F1-4A97-9EF7-75BD81C00000 failed, stopping polling

   Copy to Clipboard Toggle word wrap