セキュリティーの強化

手順

1. システムのインストール開始時に、Red Hat Enterprise Linux ブートウィンドウが開き、利用可能なブートオプションが表示されたら、カーネルコマンドラインに fips=1 オプションを追加します。

   1. UEFI システムでは、e キーを押してカーソルを linuxefi カーネルコマンドラインの末尾に移動し、この行の末尾に fips=1 を追加します。次に例を示します。

      linuxefi /images/pxeboot/vmlinuz inst.stage2=hd:LABEL=RHEL-10-0-BaseOS-x86_64 rd.live.\
      check quiet fips=1

      Copy to Clipboard

   2. BIOS システムでは、Tab キーを押してカーソルをカーネルコマンドラインの末尾に移動し、この行の末尾に fips=1 を追加します。次に例を示します。

      > vmlinuz initrd=initrd.img inst.stage2=hd:LABEL=RHEL-10-0-BaseOS-x86_64 rd.live.check quiet fips=1

      Copy to Clipboard
2. ソフトウェアの選択段階で、サードパーティーのソフトウェアをインストールしないでください。
3. インストール後に、システムは FIPS モードで自動的に起動します。

手順

1. 次の内容を含む、Tom’s Obvious, Minimal Language (TOML) 形式のプレーンテキストファイルを作成します。

   name = "system-fips-mode-enabled"
   description = "blueprint with FIPS enabled "
   version = "0.0.1"
   
   [customizations]
   fips = true
   
   [[customizations.user]]
   name = "admin"
   password = "admin"
   groups = ["users", "wheel"]

   Copy to Clipboard

2. ブループリントを RHEL Image Builder サーバーにインポートします。

   # composer-cli blueprints push blueprint-name.toml

   Copy to Clipboard

3. 既存のブループリントをリスト表示して、作成されたブループリントが正常にインポートされて存在するかどうかを確認します。

   # composer-cli blueprints show blueprint-name

   Copy to Clipboard

4. ブループリントに記載されているコンポーネントおよびバージョンと、その依存関係が有効かどうかを確認します。

   # composer-cli blueprints depsolve blueprint-name

   Copy to Clipboard

5. カスタマイズした RHEL イメージをビルドします。

   # composer-cli compose start \ blueprint-name \ image-type \

   Copy to Clipboard

6. イメージのステータスを確認します。

   # composer-cli compose status
   …
   $ UUID FINISHED date blueprint-name blueprint-version image-type
   …

   Copy to Clipboard

7. イメージをダウンロードします。

   # composer-cli compose image UUID

   Copy to Clipboard

   RHEL Image Builder により、イメージがカレントディレクトリーパスにダウンロードされます。UUID 番号とともにイメージサイズが表示されます。

   $ UUID-image-name.type: size MB

   Copy to Clipboard

検証

1. ブループリントで設定したユーザー名とパスワードを使用してシステムイメージにログインします。

2. FIPS モードが有効になっているかどうかを確認します。

   $ cat /proc/sys/crypto/fips_enabled
   1

   Copy to Clipboard

手順

1. 01-fips.toml を作成して FIPS の有効化を設定します。次に例を示します。

   # Enable FIPS
   kargs = ["fips=1"]

   Copy to Clipboard

2. 次の指示を含む Containerfile を作成して、fips=1 カーネル引数を有効にし、暗号化ポリシーを調整します。

   FROM registry.redhat.io/rhel10/rhel-bootc:latest
   # Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
   COPY 01-fips.toml /usr/lib/bootc/kargs.d/
   # Install and enable the FIPS crypto policy
   RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

   Copy to Clipboard

3. カレントディレクトリーの Containerfile を使用して、bootc <image> と互換性のあるベースディスクイメージを作成します。

   $ sudo podman run \
       --rm \
       -it \
       --privileged \
       --pull=newer \
       --security-opt label=type:unconfined_t \
       -v $(pwd)/config.toml:/config.toml:ro \
       -v $(pwd)/output:/output \
       -v /var/lib/containers/storage:/var/lib/containers/storage \
       registry.redhat.io/rhel10/bootc-image-builder:latest \
       --local
       --type qcow2 \
       --type iso \
       quay.io/<namespace>/<image>:<tag>

   Copy to Clipboard

4. システムのインストール中に FIPS モードを有効にします。

   1. RHEL Anaconda インストーラーを起動するときに、インストール画面で TAB キーを押して、fips=1 カーネル引数を追加します。

      インストール後に、システムは FIPS モードで自動的に起動します。

手順

1. オプション: 現在の暗号化ポリシーを表示します。

   $ update-crypto-policies --show
   DEFAULT

   Copy to Clipboard

2. 新しい暗号化ポリシーを設定します。

   # update-crypto-policies --set <POLICY>
   <POLICY>

   Copy to Clipboard

   <POLICY> は、設定するポリシーまたはサブポリシー (FUTURE、LEGACY、FIPS:OSPP など) に置き換えます。

3. システムを再起動します。

   # reboot

   Copy to Clipboard

手順

1. システム全体の暗号化ポリシーを LEGACY レベルに切り替えるには、root で以下のコマンドを実行します。

   # update-crypto-policies --set LEGACY
   Setting system policy to LEGACY

   Copy to Clipboard

手順

1. RHEL 10 Web コンソールにログインします。

   詳細は、Web コンソールへのログイン を参照してください。

2. Overview ページの Configuration カードで、Crypto policy の横にある現在のポリシー値をクリックします。

   

3. Change crypto policy ダイアログウィンドウで、システムで使用を開始するポリシーをクリックします。

   

4. Apply and reboot ボタンをクリックします。

手順

1. /etc/crypto-policies/policies/modules/ ディレクトリーをチェックアウトします。

   # cd /etc/crypto-policies/policies/modules/

   Copy to Clipboard

2. 調整用のサブポリシーを作成します。次に例を示します。

   # touch MYCRYPTO-1.pmod
   # touch SCOPES-AND-WILDCARDS.pmod

   Copy to Clipboard
   重要

   ポリシーモジュールのファイル名には大文字を使用します。

3. 任意のテキストエディターでポリシーモジュールを開き、システム全体の暗号化ポリシーを変更するオプションを挿入します。次に例を示します。

   # vi MYCRYPTO-1.pmod

   Copy to Clipboard

   min_rsa_size = 3072
   hash = SHA2-384 SHA2-512 SHA3-384 SHA3-512

   Copy to Clipboard

   # vi SCOPES-AND-WILDCARDS.pmod

   Copy to Clipboard

   # Disable the AES-128 cipher, all modes
   cipher = -AES-128-*
   
   # Disable CHACHA20-POLY1305 for the TLS protocol (OpenSSL, GnuTLS, NSS, and OpenJDK)
   cipher@TLS = -CHACHA20-POLY1305
   
   # Allow using the FFDHE-1024 group with the SSH protocol (libssh and OpenSSH)
   group@SSH = FFDHE-1024+
   
   # Disable all CBC mode ciphers for the SSH protocol (libssh and OpenSSH)
   cipher@SSH = -*-CBC
   
   # Allow the AES-256-CBC cipher in applications using libssh
   cipher@libssh = AES-256-CBC+

   Copy to Clipboard
4. 変更をモジュールファイルに保存します。

5. ポリシーの調整を、システム全体の暗号化ポリシーレベル DEFAULT に適用します。

   # update-crypto-policies --set DEFAULT:MYCRYPTO-1:SCOPES-AND-WILDCARDS

   Copy to Clipboard

6. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

   # reboot

   Copy to Clipboard

手順

1. カスタマイズのポリシーファイルを作成します。

   # cd /etc/crypto-policies/policies/
   # touch MYPOLICY.pol

   Copy to Clipboard

   または、定義されている 4 つのポリシーレベルのいずれかをコピーします。

   # cp /usr/share/crypto-policies/policies/DEFAULT.pol /etc/crypto-policies/policies/MYPOLICY.pol

   Copy to Clipboard

2. 必要に応じて、テキストエディターでファイルを編集します。以下のようにしてカスタム暗号化ポリシーを使用します。

   # vi /etc/crypto-policies/policies/MYPOLICY.pol

   Copy to Clipboard

3. システム全体の暗号化ポリシーをカスタムレベルに切り替えます。

   # update-crypto-policies --set MYPOLICY

   Copy to Clipboard

4. 暗号化設定を実行中のサービスやアプリケーションで有効にするには、システムを再起動します。

   # reboot

   Copy to Clipboard

手順

1. crypto-policies-pq-preview パッケージをインストールします。

   # dnf install -y crypto-policies-pq-preview

   Copy to Clipboard

2. 現在のシステム全体のポリシーに加えて TEST-PQ 暗号化サブポリシーを有効にします。次に例を示します。

   # update-crypto-policies --show
   DEFAULT
   # update-crypto-policies --set DEFAULT:TEST-PQ

   Copy to Clipboard

3. システムを再起動します。

   # reboot

   Copy to Clipboard

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure cryptographic policies
     hosts: managed-node-01.example.com
     tasks:
       - name: Configure the FUTURE cryptographic security policy on the managed node
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.crypto_policies
         vars:
           - crypto_policies_policy: FUTURE
           - crypto_policies_reboot_ok: true

   Copy to Clipboard

   サンプル Playbook で指定されている設定は次のとおりです。

   crypto_policies_policy: FUTURE

   管理対象ノードで必要な暗号化ポリシー (FUTURE) を設定します。これは、基本ポリシー、またはいくつかのサブポリシーを含む基本ポリシーのどちらかです。指定した基本ポリシーとサブポリシーが、管理対象ノードで使用可能である必要があります。デフォルト値は null です。つまり、設定は変更されず、crypto_policies RHEL システムロールは Ansible fact のみを収集します。

   crypto_policies_reboot_ok: true

   すべてのサービスとアプリケーションが新しい設定ファイルを読み取るように、暗号化ポリシーの変更後にシステムを再起動します。デフォルト値は false です。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.crypto_policies/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard

検証

1. コントロールノードで、たとえば verify_playbook.yml という名前の別の Playbook を作成します。

   ---
   - name: Verification
     hosts: managed-node-01.example.com
     tasks:
       - name: Verify active cryptographic policy
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.crypto_policies
       - name: Display the currently active cryptographic policy
         ansible.builtin.debug:
           var: crypto_policies_active

   Copy to Clipboard

   サンプル Playbook で指定されている設定は次のとおりです。

   crypto_policies_active

   crypto_policies_policy 変数で受け入れられる形式の現在アクティブなポリシー名が含まれているエクスポートされた Ansible fact。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/verify_playbook.yml

   Copy to Clipboard

3. Playbook を実行します。

   $ ansible-playbook ~/verify_playbook.yml
   TASK [debug] **************************
   ok: [host] => {
       "crypto_policies_active": "FUTURE"
   }

   Copy to Clipboard

   crypto_policies_active 変数は、管理対象ノード上のアクティブなポリシーを示します。

手順

1. PKCS #11 の URI を含む OpenSC PKCS #11 モジュールが提供する鍵のリストを表示し、その出力を keys.pub ファイルに保存します。

   $ ssh-keygen -D pkcs11: > keys.pub

   Copy to Clipboard

2. 公開鍵をリモートサーバーに転送します。ssh-copy-id コマンドを使用し、前の手順で作成した keys.pub ファイルを指定します。

   $ ssh-copy-id -f -i keys.pub <username@ssh-server-example.com>

   Copy to Clipboard

3. ECDSA 鍵を使用して <ssh-server-example.com> に接続します。鍵を一意に参照する URI のサブセットのみを使用することもできます。次に例を示します。

   $ ssh -i "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so" <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard

   OpenSSH は p11-kit-proxy ラッパーを使用し、OpenSC PKCS #11 モジュールが p11-kit ツールに登録されているため、前のコマンドを簡略化できます。

   $ ssh -i "pkcs11:id=%01" <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard

   PKCS #11 の URI の id= の部分を飛ばすと、OpenSSH が、プロキシーモジュールで利用可能な鍵をすべて読み込みます。これにより、必要な入力の量を減らすことができます。

   $ ssh -i pkcs11: <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard

4. オプション: ~/.ssh/config ファイルで同じ URI 文字列を使用して、設定を永続的にすることができます。

   $ cat ~/.ssh/config
   IdentityFile "pkcs11:id=%01?module-path=/usr/lib64/pkcs11/opensc-pkcs11.so"
   $ ssh <ssh-server-example.com>
   Enter PIN for 'SSH key':
   [ssh-server-example.com] $

   Copy to Clipboard

   ssh クライアントユーティリティーが、この URI とスマートカードの鍵を自動的に使用するようになります。

手順

1. /etc/polkit-1/rules.d/ ディレクトリーに新規ファイルを作成します。

   # touch /etc/polkit-1/rules.d/00-test.rules

   Copy to Clipboard

2. 選択したエディターでファイルを編集します。以下に例を示します。

   # vi /etc/polkit-1/rules.d/00-test.rules

   Copy to Clipboard

3. 以下の行を挿入します。

   polkit.addRule(function(action, subject) {
     if (action.id == "org.debian.pcsc-lite.access_pcsc" ||
     	action.id == "org.debian.pcsc-lite.access_card") {
   	polkit.log("action=" + action);
   	polkit.log("subject=" + subject);
     }
   });

   Copy to Clipboard

   ファイルを保存して、エディターを終了します。

4. pcscd サービスおよび polkit サービスを再起動します。

   # systemctl restart pcscd.service pcscd.socket polkit.service

   Copy to Clipboard

検証

1. pcscd の認可リクエストを作成します。たとえば、Firefox の Web ブラウザーを開くか、opensc が提供する pkcs11-tool -L を使用します。

2. 拡張ログエントリーを表示します。以下に例を示します。

   # journalctl -u polkit --since "1 hour ago"
   polkitd[1224]: <no filename>:4: action=[Action id='org.debian.pcsc-lite.access_pcsc']
   polkitd[1224]: <no filename>:5: subject=[Subject pid=2020481 user=user' groups=user,wheel,mock,wireshark seat=null session=null local=true active=true]

   Copy to Clipboard

手順

1. データストリームファイルからセキュリティープロファイルの ID を見つけます。

   $ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
   Profiles:
   …
     Title: Australian Cyber Security Centre (ACSC) Essential Eight
   	Id: xccdf_org.ssgproject.content_profile_e8
     Title: Health Insurance Portability and Accountability Act (HIPAA)
   	Id: xccdf_org.ssgproject.content_profile_hipaa
     Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 10
   	Id: xccdf_org.ssgproject.content_profile_pci-dss
   …

   Copy to Clipboard
2. オプション: XCCDF テーラリングファイルを使用してハードニングをカスタマイズする場合は、openscap-utils パッケージで提供される autotailor コマンドを使用できます。詳細は、autotailor を使用したセキュリティープロファイルのカスタマイズ を参照してください。

3. SCAP ソースデータストリームからキックスタートファイルを生成します。

   $ oscap xccdf generate fix --profile <profile_ID> --output <kickstart_file>.cfg --fix-type kickstart /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

   Copy to Clipboard

   テーラリングファイルを使用する場合は、--tailoring-file tailoring.xml オプションとカスタムプロファイル ID を使用して、生成されたキックスタートファイルにテーラリングファイルを埋め込みます。次に例を示します。

   $ oscap xccdf generate fix --tailoring-file tailoring.xml --profile <custom_profile_ID> --output <kickstart_file>.cfg --fix-type kickstart ./ssg-rhel10-ds.xml

   Copy to Clipboard

4. 生成された <kickstart_file>.cfg を確認し、デプロイメントのニーズに合わせて必要に応じて手動で変更します。ファイル内のコメントの指示に従ってください。

   注記

   変更の内容によっては、キックスタートファイルによってインストールされるシステムのコンプライアンスに影響が及ぶ可能性があります。たとえば、一部のセキュリティーポリシーには、定義済みのパーティションや特定のパッケージおよびサービスが必要です。

5. インストール用のキックスタートファイルを使用します。インストーラーがキックスタートを使用できるように、キックスタートを Web サーバー経由で提供するか、PXE で提供するか、ISO イメージに埋め込みます。詳細な手順については、「RHEL の自動インストール」ドキュメントの RHEL の完全自動および半自動インストール の章を参照してください。
6. インストールが完了すると、システムが自動的に再起動します。再起動後、ログインして、/root ディレクトリーに保存されているインストール SCAP レポートを確認します。

手順

1. autotailor コマンドを使用して、プロファイルのテーラリングファイルを作成します。次に例を示します。

   $ autotailor \ --select=<rule_ID_1> \ --select=<rule_ID_2> \ --unselect=<rule_ID_3> \ --var-value=<value_ID_1>=<value_1> \ --var-value=<value_ID_2>=<value_2> \ --output=<tailoring.xml> \ --tailored-profile-id=<custom_profile_ID> \ /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml <profile_ID>

   Copy to Clipboard

   詳細は以下のようになります。

   • <customization_options> はプロファイルの変更内容です。次の 1 つ以上のオプションを使用します。

     --select=<rule_ID>

     既存のルールをプロファイルに追加します。

     --unselect=<rule_ID>

     プロファイルからルールを削除します。

     --var-value=<value_ID>=<value>

     事前設定された値をオーバーライドします。たとえば、var_sshd_max_sessions を 10 に設定するには、--var-value=var_sshd_max_sessions=10 を使用します。

   • <tailoring.xml> は、autotailor がテーラリングを保存するファイル名です。
   • <custom_profile_ID> は、autotailor がカスタマイズを保存するプロファイル ID です (例: custom_cis)。
   • <profile_ID> は、システムが準拠する必要があるプロファイル ID です (例: cis)。
   注記

   すべてのプロファイル、ルール、および変数 XCCDF ID に、完全な名前空間識別子または短縮 ID のいずれかを使用できます。短縮 ID は、autotailor により、名前空間接頭辞を使用して自動的に拡張されます。たとえば、cis は xccdf_org.ssgproject.content_profile_cis と同等です。

   --id-namespace オプションを使用すると、デフォルトの名前空間 org.ssgproject.content をオーバーライドできます。

2. オプション: JSON Tailoring 形式で定義したカスタマイズに基づいてテーラリングファイルを作成します。

   $ autotailor --output=<tailoring.xml> --json-tailoring=<json_tailoring.json>

   Copy to Clipboard

   以下のように置き換えます。

   • <json_tailoring.json> は、JSON Tailoring 定義を含むファイル名です。
   注記

   --json-tailoring は、コマンドラインのカスタマイズ --select、--unselect、および --var-value と組み合わせることができます。その場合、コマンドラインのカスタマイズが JSON Tailoring よりも優先されます。

手順

1. Keylime verifier をインストールします。

   # dnf install keylime-verifier

   Copy to Clipboard

2. /etc/keylime/verifier.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-verifier-ip.conf など) を作成して、verifier の IP アドレスとポートを定義します。

   [verifier]
   ip = <verifier_IP_address>

   Copy to Clipboard
   • <verifier_IP_address> は、verifier の IP アドレスに置き換えます。あるいは、ip = * または ip = 0.0.0.0 を使用して、使用可能なすべての IP アドレスに verifier をバインドします。
   • 必要に応じて、port オプションを使用して、verifier のポートをデフォルト値 8881 から変更することもできます。

3. オプション: エージェントのリスト用に verifier のデータベースを設定します。デフォルトの設定では、verifier の /var/lib/keylime/cv_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/verifier.conf.d/ ディレクトリーに次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-db-url.conf など) を作成することで、別のデータベースを定義できます。

   [verifier]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://verifier:UQ?nRNY9g7GZzN7@198.51.100.1/verifierdb) に置き換えます。

   使用する認証情報が、Keylime にデータベース構造を作成するための権限を提供していることを確認してください。

4. verifier に証明書と鍵を追加します。Keylime にそれらを生成させることも、既存の鍵と証明書を使用することもできます。

   • デフォルトの tls_dir =generate オプションを使用すると、Keylime は verifier、registrar、およびテナントの新しい証明書を /var/lib/keylime/cv_ca/ ディレクトリーに生成します。

   • 既存の鍵と証明書を設定にロードするには、verifier 設定でそれらの場所を定義します。Keylime サービスの実行者である keylime ユーザーが証明書にアクセスできる必要があります。

     /etc/keylime/verifier.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-keys-and-certs.conf など) を作成します。

     [verifier]
     tls_dir = /var/lib/keylime/cv_ca
     server_key = </path/to/server_key>
     server_key_password = <passphrase1>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']
     client_key = </path/to/client_key>
     client_key_password = <passphrase2>
     client_cert = </path/to/client_cert>
     trusted_server_ca = ['</path/to/ca/cert3>', '</path/to/ca/cert4>']

     Copy to Clipboard
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。また、相対パスは tls_dir オプションで定義されたディレクトリーから解決されます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8881/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

   別のポートを使用する場合は、8881 を .conf ファイルで定義されているポート番号に置き換えます。

6. verifier サービスを開始します。

   # systemctl enable --now keylime_verifier

   Copy to Clipboard
   注記

   デフォルト設定では、verifier が他の Keylime コンポーネントの CA と証明書を作成するため、keylime_registrar サービスを起動する前に keylime_verifier を起動します。カスタム証明書を使用する場合、この順序で起動する必要はありません。

手順

1. オプション: 設定ファイルにアクセスするには、keylime-verifier パッケージをインストールします。このパッケージがなくてもコンテナーを設定することはできますが、パッケージに付属する設定ファイルを変更する方が簡単な場合があります。

   # dnf install keylime-verifier

   Copy to Clipboard

2. /etc/keylime/verifier.conf.d/ ディレクトリーに新しい .conf ファイル (例: /etc/keylime/verifier.conf.d/00-verifier-ip.conf) を作成し、次の内容を記述して、verifier をすべての使用可能な IP アドレスにバインドします。

   [verifier]
   ip = *

   Copy to Clipboard
   • 必要に応じて、port オプションを使用して、verifier のポートをデフォルト値 8881 から変更することもできます。

3. オプション: エージェントのリスト用に verifier のデータベースを設定します。デフォルトの設定では、verifier の /var/lib/keylime/cv_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/verifier.conf.d/ ディレクトリーに次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-db-url.conf など) を作成することで、別のデータベースを定義できます。

   [verifier]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://verifier:UQ?nRNY9g7GZzN7@198.51.100.1/verifierdb) に置き換えます。

   使用する認証情報に、Keylime がデータベース構造を作成するための権限があることを確認してください。

4. verifier に証明書と鍵を追加します。Keylime にそれらを生成させることも、既存の鍵と証明書を使用することもできます。

   • デフォルトの tls_dir =generate オプションを使用すると、Keylime は verifier、registrar、およびテナントの新しい証明書を /var/lib/keylime/cv_ca/ ディレクトリーに生成します。

   • 既存の鍵と証明書を設定にロードするには、verifier 設定でそれらの場所を定義します。Keylime プロセスの実行者である keylime ユーザーが証明書にアクセスできる必要があります。

     /etc/keylime/verifier.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/verifier.conf.d/00-keys-and-certs.conf など) を作成します。

     [verifier]
     tls_dir = /var/lib/keylime/cv_ca
     server_key = </path/to/server_key>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']
     client_key = </path/to/client_key>
     client_cert = </path/to/client_cert>
     trusted_server_ca = ['</path/to/ca/cert3>', '</path/to/ca/cert4>']

     Copy to Clipboard
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。また、相対パスは tls_dir オプションで定義されたディレクトリーから解決されます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8881/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

   別のポートを使用する場合は、8881 を .conf ファイルで定義されているポート番号に置き換えます。

6. コンテナーを実行します。

   $ podman run --name keylime-verifier \
     -p 8881:8881 \
     -v /etc/keylime/verifier.conf.d:/etc/keylime/verifier.conf.d:Z \
     -v /var/lib/keylime/cv_ca:/var/lib/keylime/cv_ca:Z \
     -d \
     -e KEYLIME_VERIFIER_SERVER_KEY_PASSWORD=<passphrase1> \
     -e KEYLIME_VERIFIER_CLIENT_KEY_PASSWORD=<passphrase2> \
     registry.access.redhat.com/rhel9/keylime-verifier

   Copy to Clipboard
   • -p オプションは、ホスト上とコンテナー上のデフォルトポート 8881 を開きます。

   • -v オプションは、コンテナーへのディレクトリーのバインドマウントを作成します。

     • Z オプションを指定すると、Podman がコンテンツにプライベート非共有ラベルを付けます。つまり、現在のコンテナーだけがプライベートボリュームを使用できます。
   • -d オプションは、コンテナーをデタッチしてバックグラウンドで実行します。
   • オプション -e KEYLIME_VERIFIER_SERVER_KEY_PASSWORD=<passphrase1> は、サーバーの鍵のパスフレーズを定義します。
   • オプション -e KEYLIME_VERIFIER_CLIENT_KEY_PASSWORD=<passphrase2> は、クライアントの鍵のパスフレーズを定義します。
   • オプション -e KEYLIME_VERIFIER_<ENVIRONMENT_VARIABLE>=<value> を指定すると、環境変数で設定オプションをオーバーライドできます。複数のオプションを変更するには、環境変数ごとに -e オプションを個別に挿入します。環境変数とそのデフォルト値の完全なリストは、Keylime の環境変数 を参照してください。

手順

1. Keylime registrar をインストールします。

   # dnf install keylime-registrar

   Copy to Clipboard

2. /etc/keylime/registrar.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/registrar.conf.d/00-registrar-ip.conf など) を作成して、registrar の IP アドレスとポートを定義します。

   [registrar]
   ip = <registrar_IP_address>

   Copy to Clipboard
   • <registrar_IP_address> を registrar の IP アドレスに置き換えます。あるいは、ip = * または ip = 0.0.0.0 を使用して、使用可能なすべての IP アドレスに registrar をバインドします。
   • 必要に応じて、port オプションを使用して、Keylime エージェントが接続するポートを変更します。デフォルト値は 8890 です。
   • 必要に応じて、tls_port オプションを使用して、Keylime verifier とテナントが接続する TLS ポートを変更します。デフォルト値は 8891 です。

3. オプション: エージェントのリスト用に registrar のデータベースを設定します。デフォルト設定では、registrar の /var/lib/keylime/reg_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/registrar.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/registrar.conf.d/00-db-url.conf など) を作成できます。

   [registrar]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://registrar:EKYYX-bqY2?#raXm@198.51.100.1/registrardb) に置き換えます。

   使用する認証情報に、Keylime がデータベース構造を作成するための権限があることを確認してください。

4. registrar に証明書と鍵を追加します。

   • デフォルトの設定を使用して、鍵と証明書を /var/lib/keylime/reg_ca ディレクトリーにロードできます。

   • または、設定で鍵と証明書の場所を定義することもできます。/etc/keylime/registrar.conf.d/ ディレクトリーに新しい .conf ファイルを作成します (例: /etc/keylime/registrar.conf.d/00-keys-and-certs.conf の内容は次のとおりです)。

     [registrar]
     tls_dir = /var/lib/keylime/reg_ca
     server_key = </path/to/server_key>
     server_key_password = <passphrase1>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']

     Copy to Clipboard
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。または、tls_dir オプションでディレクトリーを定義し、そのディレクトリーからの相対パスを使用することもできます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8890/tcp --add-port 8891/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

   別のポートを使用する場合は、8890 または 8891 を .conf ファイルで定義されているポート番号に置き換えます。

6. keylime_registrar サービスを起動します。

   # systemctl enable --now keylime_registrar

   Copy to Clipboard
   注記

   デフォルト設定では、verifier が他の Keylime コンポーネントの CA と証明書を作成するため、keylime_registrar サービスを起動する前に keylime_verifier を起動します。カスタム証明書を使用する場合、この順序で起動する必要はありません。

手順

1. オプション: 設定ファイルにアクセスするには、keylime-registrar パッケージをインストールします。このパッケージがなくてもコンテナーを設定することはできますが、パッケージに付属する設定ファイルを変更する方が簡単な場合があります。

   # dnf install keylime-registrar

   Copy to Clipboard

2. /etc/keylime/registrar.conf.d/ ディレクトリーに新しい .conf ファイル (例: /etc/keylime/registrar.conf.d/00-registrar-ip.conf) を作成し、次の内容を記述して、registrar を使用可能なすべての IP アドレスにバインドします。

   [registrar]
   ip = *

   Copy to Clipboard
   • 必要に応じて、port オプションを使用して、Keylime エージェントが接続するポートを変更します。デフォルト値は 8890 です。
   • 必要に応じて、tls_port オプションを使用して、Keylime テナントが接続する TLS ポートを変更します。デフォルト値は 8891 です。

3. オプション: エージェントのリスト用に registrar のデータベースを設定します。デフォルト設定では、registrar の /var/lib/keylime/reg_data.sqlite ディレクトリーにある SQLite データベースを使用します。/etc/keylime/registrar.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/registrar.conf.d/00-db-url.conf など) を作成できます。

   [registrar]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   Copy to Clipboard

   <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> は、データベースの URL (例: postgresql://registrar:EKYYX-bqY2?#raXm@198.51.100.1/registrardb) に置き換えます。

   使用する認証情報に、Keylime がデータベース構造を作成するための権限があることを確認してください。

4. registrar に証明書と鍵を追加します。

   • デフォルトの設定を使用して、鍵と証明書を /var/lib/keylime/reg_ca ディレクトリーにロードできます。

   • または、設定で鍵と証明書の場所を定義することもできます。/etc/keylime/registrar.conf.d/ ディレクトリーに新しい .conf ファイルを作成します (例: /etc/keylime/registrar.conf.d/00-keys-and-certs.conf の内容は次のとおりです)。

     [registrar]
     tls_dir = /var/lib/keylime/reg_ca
     server_key = </path/to/server_key>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']

     Copy to Clipboard
     注記

     絶対パスを使用して、鍵と証明書の場所を定義します。または、tls_dir オプションでディレクトリーを定義し、そのディレクトリーからの相対パスを使用することもできます。

5. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 8890/tcp --add-port 8891/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

   別のポートを使用する場合は、8890 または 8891 を .conf ファイルで定義されているポート番号に置き換えます。

6. コンテナーを実行します。

   $ podman run --name keylime-registrar \
     -p 8890:8890 \
     -p 8891:8891 \
     -v /etc/keylime/registrar.conf.d:/etc/keylime/registrar.conf.d:Z \
     -v /var/lib/keylime/reg_ca:/var/lib/keylime/reg_ca:Z \
     -d \
     -e KEYLIME_REGISTRAR_SERVER_KEY_PASSWORD=<passphrase1> \
     registry.access.redhat.com/rhel9/keylime-registrar

   Copy to Clipboard
   • -p オプションは、ホスト上とコンテナー上のデフォルトポート 8890 および 8881 を開きます。

   • -v オプションは、コンテナーへのディレクトリーのバインドマウントを作成します。

     • Z オプションを指定すると、Podman がコンテンツにプライベート非共有ラベルを付けます。つまり、現在のコンテナーだけがプライベートボリュームを使用できます。
   • -d オプションは、コンテナーをデタッチしてバックグラウンドで実行します。
   • オプション -e KEYLIME_VERIFIER_SERVER_KEY_PASSWORD=<passphrase1> は、サーバーの鍵のパスフレーズを定義します。
   • オプション -e KEYLIME_REGISTRAR__<ENVIRONMENT_VARIABLE>=<value> を指定すると、環境変数で設定オプションをオーバーライドできます。複数のオプションを変更するには、環境変数ごとに -e オプションを個別に挿入します。環境変数とそのデフォルト値の完全なリストは、「Keylime の環境変数」 を参照してください。

手順

1. 必要なロールを定義する Playbook を作成します。

   1. 新しい YAML ファイルを作成し、これをテキストエディターで開きます。以下に例を示します。

      # vi keylime-playbook.yml

      Copy to Clipboard

   2. 以下の内容を挿入します。

      ---
      - name: Manage keylime servers
        hosts: all
        vars:
          keylime_server_verifier_ip: "{{ ansible_host }}"
          keylime_server_registrar_ip: "{{ ansible_host }}"
          keylime_server_verifier_tls_dir: <ver_tls_directory>
          keylime_server_verifier_server_cert: <ver_server_certfile>
          keylime_server_verifier_server_key: <ver_server_key>
          keylime_server_verifier_server_key_passphrase: <ver_server_key_passphrase>
          keylime_server_verifier_trusted_client_ca: <ver_trusted_client_ca_list>
          keylime_server_verifier_client_cert: <ver_client_certfile>
          keylime_server_verifier_client_key: <ver_client_key>
          keylime_server_verifier_client_key_passphrase: <ver_client_key_passphrase>
          keylime_server_verifier_trusted_server_ca: <ver_trusted_server_ca_list>
          keylime_server_registrar_tls_dir: <reg_tls_directory>
          keylime_server_registrar_server_cert: <reg_server_certfile>
          keylime_server_registrar_server_key: <reg_server_key>
          keylime_server_registrar_server_key_passphrase: <reg_server_key_passphrase>
          keylime_server_registrar_trusted_client_ca: <reg_trusted_client_ca_list>
        roles:
          - rhel-system-roles.keylime_server

      Copy to Clipboard

      変数の詳細は、keylime_server RHEL システムロールの変数 を参照してください。

2. Playbook を実行します。

   $ ansible-playbook <keylime-playbook.yml>

   Copy to Clipboard

検証

1. keylime_verifier サービスがアクティブであり、管理対象ホスト上で実行されていることを確認します。

   # systemctl status keylime_verifier
   ● keylime_verifier.service - The Keylime verifier
        Loaded: loaded (/usr/lib/systemd/system/keylime_verifier.service; disabled; vendor preset: disabled)
        Active: active (running) since Wed 2022-11-09 10:10:08 EST; 1min 45s ago

   Copy to Clipboard

2. keylime_registrar サービスがアクティブで実行中であることを確認します。

   # systemctl status keylime_registrar
   ● keylime_registrar.service - The Keylime registrar service
        Loaded: loaded (/usr/lib/systemd/system/keylime_registrar.service; disabled; vendor preset: disabled)
        Active: active (running) since Wed 2022-11-09 10:10:17 EST; 1min 42s ago
   ...

   Copy to Clipboard

手順

1. Keylime テナントをインストールします。

   # dnf install keylime-tenant

   Copy to Clipboard

2. /etc/keylime/tenant.conf.d/00-verifier-ip.conf ファイルを編集して、Keylime verifier へのテナントの接続を定義します。

   [tenant]
   verifier_ip = <verifier_ip>

   Copy to Clipboard
   • <verifier_ip> は、verifier のシステムの IP アドレスに置き換えます。
   • verifier がデフォルト値 8881 とは異なるポートを使用する場合は、verifier_port = <verifier_port> 設定を追加します。

3. /etc/keylime/tenant.conf.d/00-registrar-ip.conf ファイルを編集して、Keylime registrar へのテナントの接続を定義します。

   [tenant]
   registrar_ip = <registrar_ip>

   Copy to Clipboard
   • <registrar_ip> は、registrar のシステムの IP アドレスに置き換えます。
   • registrar がデフォルト値 8891 とは異なるポートを使用する場合は、registrar_port = <registrar_port> 設定を追加します。

4. テナントに証明書と鍵を追加します。

   1. デフォルトの設定を使用して、鍵と証明書を /var/lib/keylime/cv_ca ディレクトリーにロードできます。

   2. または、設定で鍵と証明書の場所を定義することもできます。/etc/keylime/tenant.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/tenant.conf.d/00-keys-and-certs.conf など) を作成します。

      [tenant]
      tls_dir = /var/lib/keylime/cv_ca
      client_key = tenant-key.pem
      client_key_password = <passphrase1>
      client_cert = tenant-cert.pem
      trusted_server_ca = ['</path/to/ca/cert>']

      Copy to Clipboard

      trusted_server_ca パラメーターは、verifier および registrar サーバーの CA 証明書へのパスを受け入れます。verifier と registrar が異なる CA を使用する場合などに、複数のコンマ区切りのパスを指定できます。

      注記

      絶対パスを使用して、鍵と証明書の場所を定義します。または、tls_dir オプションでディレクトリーを定義し、そのディレクトリーからの相対パスを使用することもできます。

5. オプション: /var/lib/keylime/tpm_cert_store ディレクトリー内の証明書を使用して Trusted Platform Module (TPM) の保証鍵 (EK) を検証できない場合は、証明書をそのディレクトリーに追加します。これは、エミュレートされた TPM を備えた仮想マシンを使用する場合に特に発生する可能性があります。

検証

1. verifier のステータスを確認します。

   # keylime_tenant -c cvstatus
   Reading configuration from ['/etc/keylime/logging.conf']
   2022-10-14 12:56:08.155 - keylime.tpm - INFO - TPM2-TOOLS Version: 5.2
   Reading configuration from ['/etc/keylime/tenant.conf']
   2022-10-14 12:56:08.157 - keylime.tenant - INFO - Setting up client TLS...
   2022-10-14 12:56:08.158 - keylime.tenant - INFO - Using default client_cert option for tenant
   2022-10-14 12:56:08.158 - keylime.tenant - INFO - Using default client_key option for tenant
   2022-10-14 12:56:08.178 - keylime.tenant - INFO - TLS is enabled.
   2022-10-14 12:56:08.178 - keylime.tenant - WARNING - Using default UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000
   2022-10-14 12:56:08.221 - keylime.tenant - INFO - Verifier at 127.0.0.1 with Port 8881 does not have agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000.

   Copy to Clipboard

   正しくセットアップされていて、エージェントが設定されていない場合、verifier は、デフォルトのエージェント UUID を認識しないと応答します。

2. registrar のステータスを確認します。

   # keylime_tenant -c regstatus
   Reading configuration from ['/etc/keylime/logging.conf']
   2022-10-14 12:56:02.114 - keylime.tpm - INFO - TPM2-TOOLS Version: 5.2
   Reading configuration from ['/etc/keylime/tenant.conf']
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Setting up client TLS...
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Using default client_cert option for tenant
   2022-10-14 12:56:02.116 - keylime.tenant - INFO - Using default client_key option for tenant
   2022-10-14 12:56:02.137 - keylime.tenant - INFO - TLS is enabled.
   2022-10-14 12:56:02.137 - keylime.tenant - WARNING - Using default UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000
   2022-10-14 12:56:02.171 - keylime.registrar_client - CRITICAL - Error: could not get agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 data from Registrar Server: 404
   2022-10-14 12:56:02.172 - keylime.registrar_client - CRITICAL - Response code 404: agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 not found
   2022-10-14 12:56:02.172 - keylime.tenant - INFO - Agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 does not exist on the registrar. Please register the agent with the registrar.
   2022-10-14 12:56:02.172 - keylime.tenant - INFO - {"code": 404, "status": "Agent d432fbb3-d2f1-4a97-9ef7-75bd81c00000 does not exist on registrar 127.0.0.1 port 8891.", "results": {}}

   Copy to Clipboard

   正しくセットアップされていて、エージェントが設定されていない場合、registrar は、デフォルトのエージェント UUID を認識しないと応答します。

手順

1. Keylime エージェントをインストールします。

   # dnf install keylime-agent

   Copy to Clipboard

   このコマンドは、keylime-agent-rust パッケージをインストールします。

2. 設定ファイルでエージェントの IP アドレスとポートを定義します。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-agent-ip.conf など) を作成します。

   [agent]
   ip = '<agent_ip>'

   Copy to Clipboard
   注記

   Keylime エージェントの設定では TOML 形式が使用されます。これは、他のコンポーネントの設定に使用される INI 形式とは異なります。したがって、値は有効な TOML 構文で入力してください。たとえば、パスは一重引用符で囲み、複数のパスの配列は角括弧で囲みます。

   • <agent_IP_address> は、エージェントの IP アドレスに置き換えます。あるいは、ip = '*' または ip = '0.0.0.0' を使用して、使用可能なすべての IP アドレスにエージェントをバインドします。
   • 必要に応じて、port = '<agent_port>' オプションを使用して、エージェントのポートをデフォルト値 9002 から変更することもできます。

3. 設定ファイルで registrar の IP アドレスとポートを定義します。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-registrar-ip.conf など) を作成します。

   [agent]
   registrar_ip = '<registrar_IP_address>'

   Copy to Clipboard
   • <registrar_IP_address> を registrar の IP アドレスに置き換えます。
   • 必要に応じて、registrar_port = '<registrar_port>' オプションを使用して、registrar のポートをデフォルト値 8890 から変更することもできます。

4. オプション: エージェントの汎用一意識別子 (UUID) を定義します。定義されていない場合は、デフォルトの UUID が使用されます。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-agent-uuid.conf など) を作成します。

   [agent]
   uuid = '<agent_UUID>'

   Copy to Clipboard
   • <agent_UUID> は、エージェントの UUID に置き換えます (例: d432fbb3-d2f1-4a97-9ef7-abcdef012345)。uuidgen ユーティリティーを使用して UUID を生成できます。

5. オプション: エージェントの既存のキーと証明書を読み込みます。エージェントが server_key と server_cert を受信しない場合、エージェントは独自の鍵と自己署名証明書を生成します。

   設定で鍵と証明書の場所を定義します。/etc/keylime/agent.conf.d/ ディレクトリーに、次の内容の新しい .conf ファイル (/etc/keylime/agent.conf.d/00-keys-and-certs.conf など) を作成します。

   [agent]
   server_key = '</path/to/server_key>'
   server_key_password = '<passphrase1>'
   server_cert = '</path/to/server_cert>'
   trusted_client_ca = '[</path/to/ca/cert3>, </path/to/ca/cert4>]'

   Copy to Clipboard
   注記

   絶対パスを使用して、鍵と証明書の場所を定義します。Keylime エージェントは相対パスを受け入れません。

6. ファイアウォールでポートを開きます。

   # firewall-cmd --add-port 9002/tcp
   # firewall-cmd --runtime-to-permanent

   Copy to Clipboard

   別のポートを使用する場合は、9002 を .conf ファイルで定義されているポート番号に置き換えます。

7. keylime_agent サービスを有効にして起動します。

   # systemctl enable --now keylime_agent

   Copy to Clipboard

8. オプション: Keylime テナントが設定されているシステムから、エージェントが正しく設定されており、registrar に接続できることを確認します。

   # keylime_tenant -c regstatus --uuid <agent_uuid>
   Reading configuration from ['/etc/keylime/logging.conf']
   ...
   ==\n-----END CERTIFICATE-----\n", "ip": "127.0.0.1", "port": 9002, "regcount": 1, "operational_state": "Registered"}}}

   Copy to Clipboard

   • <agent_uuid> は、エージェントの UUID に置き換えます。

     registrar と agent が正しく設定されている場合、出力にはエージェントの IP アドレスとポートが表示され、その後に "operational_state": "Registered" が表示されます。

9. /etc/ima/ima-policy ファイルに次の内容を入力して、新しい IMA ポリシーを作成します。

   # PROC_SUPER_MAGIC = 0x9fa0
   dont_measure fsmagic=0x9fa0
   # SYSFS_MAGIC = 0x62656572
   dont_measure fsmagic=0x62656572
   # DEBUGFS_MAGIC = 0x64626720
   dont_measure fsmagic=0x64626720
   # TMPFS_MAGIC = 0x01021994
   dont_measure fsmagic=0x1021994
   # RAMFS_MAGIC
   dont_measure fsmagic=0x858458f6
   # DEVPTS_SUPER_MAGIC=0x1cd1
   dont_measure fsmagic=0x1cd1
   # BINFMTFS_MAGIC=0x42494e4d
   dont_measure fsmagic=0x42494e4d
   # SECURITYFS_MAGIC=0x73636673
   dont_measure fsmagic=0x73636673
   # SELINUX_MAGIC=0xf97cff8c
   dont_measure fsmagic=0xf97cff8c
   # SMACK_MAGIC=0x43415d53
   dont_measure fsmagic=0x43415d53
   # NSFS_MAGIC=0x6e736673
   dont_measure fsmagic=0x6e736673
   # EFIVARFS_MAGIC
   dont_measure fsmagic=0xde5e81e4
   # CGROUP_SUPER_MAGIC=0x27e0eb
   dont_measure fsmagic=0x27e0eb
   # CGROUP2_SUPER_MAGIC=0x63677270
   dont_measure fsmagic=0x63677270
   # OVERLAYFS_MAGIC
   # when containers are used we almost always want to ignore them
   dont_measure fsmagic=0x794c7630
   # MEASUREMENTS
   measure func=BPRM_CHECK
   measure func=FILE_MMAP mask=MAY_EXEC
   measure func=MODULE_CHECK uid=0

   Copy to Clipboard

   このポリシーは、実行されたアプリケーションのランタイム監視をターゲットとしています。このポリシーは状況に応じて調整できます。MAGIC 定数については、statfs(2) man ページを参照してください。

10. カーネルパラメーターを更新します。

    # grubby --update-kernel DEFAULT --args 'ima_appraise=fix ima_canonical_fmt ima_policy=tcb ima_template=ima-ng'

    Copy to Clipboard
11. システムを再起動して、新しい IMA ポリシーを適用します。

検証

1. エージェントが実行されていることを確認します。

   # systemctl status keylime_agent
   ● keylime_agent.service - The Keylime compute agent
        Loaded: loaded (/usr/lib/systemd/system/keylime_agent.service; enabled; preset: disabled)
        Active: active (running) since ...

   Copy to Clipboard

手順

1. Keylime エージェントが設定され実行されている監視対象システムに、keylime-policy ツールを含む python3-keylime パッケージをインストールします。

   # dnf -y install python3-keylime

   Copy to Clipboard

2. エージェントシステムの現在の状態からランタイムポリシーを作成します。

   # keylime-policy create runtime --ima-measurement --rootfs '/' --ramdisk-dir '/boot/' --output <policy.json>

   Copy to Clipboard

   このコマンドの詳細は次のとおりです。

   • <policy.json> はランタイムポリシーのファイル名に置き換えます。

   • 次のディレクトリーは測定から自動的に除外されます。

     • /sys
     • /run
     • /proc
     • /lost+found
     • /dev
     • /media
     • /snap
     • /mnt
     • /var
     • /tmp
   • 必要に応じて、--excludelist <excludelist.txt> オプションを追加して、追加の特定のパスを測定から除外することもできます。除外リストでは、1 行に 1 つの Python 正規表現を使用できます。特殊文字の完全なリストは、docs.python.org の Regular expression operations を参照してください。

3. 生成されたランタイムポリシーを、keylime_tenant ユーティリティーが設定されているシステムにコピーします。次に例を示します。

   # scp <policy.json> root@<tenant.ip>:/root/<policy.json>

   Copy to Clipboard

4. Keylime テナントが設定されているシステムで、keylime_tenant ユーティリティーを使用してエージェントをプロビジョニングします。

   # keylime_tenant --command add --targethost <agent_ip> --uuid <agent_uuid> --runtime-policy <policy.json> --cert default

   Copy to Clipboard
   • <agent_ip> は、エージェントの IP アドレスに置き換えます。
   • <agent_uuid> は、エージェントの UUID に置き換えます。
   • <policy.json> を Keylime ランタイムポリシーファイルへのパスに置き換えます。

   • --cert オプションを使用すると、テナントは、指定されたディレクトリーまたはデフォルトの /var/lib/keylime/ca/ ディレクトリーにある CA 証明書と鍵を使用して、エージェントの証明書を生成し、署名します。ディレクトリーに CA 証明書と鍵が含まれていない場合、テナントは /etc/keylime/ca.conf ファイルの設定に従ってそれらを自動的に生成し、指定されたディレクトリーに保存します。その後、テナントはこれらの鍵と証明書をエージェントに送信します。

     CA 証明書または署名エージェント証明書を生成するときに、CA 秘密鍵にアクセスするためのパスワードの入力を求められる (Please enter the password to decrypt your keystore:) 場合があります。

     注記

     Keylime はエージェントに送信されたファイルを暗号化し、エージェントのシステムが TPM ポリシーと IMA 許可リストに準拠している場合にのみ復号化します。デフォルトでは、Keylime は送信された .zip ファイルを展開します。

   たとえば、次のコマンドを使用すると、keylime_tenant は UUID d432fbb3-d2f1-4a97-9ef7-75bd81c00000 を持つ新しい Keylime エージェントを 127.0.0.1 にプロビジョニングし、policy.json というランタイムポリシーをロードします。また、デフォルトのディレクトリーに証明書を生成し、その証明書ファイルをエージェントに送信します。Keylime は、/etc/keylime/verifier.conf で設定された TPM ポリシーが満たされている場合にのみ、ファイルを復号化します。

   # keylime_tenant --command add --targethost 127.0.0.1 --uuid d432fbb3-d2f1-4a97-9ef7-75bd81c00000 --runtime-policy policy.json --cert default

   Copy to Clipboard
   注記

   # keylime_tenant --command delete --uuid <agent_uuid> コマンドを使用して、Keylime によるノードの監視を停止できます。

   keylime_tenant --command update コマンドを使用して、すでに登録されているエージェントの設定を変更できます。

検証

1. オプション: 監視対象システムを再起動して、設定が永続的であることを確認します。

2. エージェントのアテステーションが成功することを確認します。

   # keylime_tenant --command cvstatus --uuid <agent_uuid>
   ...
   {"<agent_uuid>": {"operational_state": "Get Quote"..."attestation_count": 5
   ...

   Copy to Clipboard

   <agent_uuid> は、エージェントの UUID に置き換えます。

   operational_state の値が Get Quote で、attestation_count が 0 以外の場合、このエージェントのアテステーションは成功しています。

   Operational_state の値が Invalid Quote か Failed の場合、アテステーションは失敗し、次のようなコマンド出力が表示されます。

   {"<agent_uuid>": {"operational_state": "Invalid Quote", ... "ima.validation.ima-ng.not_in_allowlist", "attestation_count": 5, "last_received_quote": 1684150329, "last_successful_attestation": 1684150327}}

   Copy to Clipboard

3. アテステーションが失敗した場合は、verifier ログで詳細を表示します。

   # journalctl --unit keylime_verifier
   keylime.tpm - INFO - Checking IMA measurement list...
   keylime.ima - WARNING - File not found in allowlist: /root/bad-script.sh
   keylime.ima - ERROR - IMA ERRORS: template-hash 0 fnf 1 hash 0 good 781
   keylime.cloudverifier - WARNING - agent D432FBB3-D2F1-4A97-9EF7-75BD81C00000 failed, stopping polling

   Copy to Clipboard

手順

1. Keylime エージェントが設定され実行されている監視対象システムに、keylime-policy ツールを含む python3-keylime パッケージをインストールします。

   # dnf -y install python3-keylime

   Copy to Clipboard

2. 監視対象システムで、keylime-policy ツールを使用して、システムの現在の状態を測定したブートログからポリシーを生成します。

   # keylime-policy create measured-boot --eventlog-file /sys/kernel/security/tpm0/binary_bios_measurements --output <./measured_boot_reference_state.json>

   Copy to Clipboard
   • <./measured_boot_reference_state.json> は、keylime-policy によって生成されるポリシーが保存されるパスに置き換えます。

   • UEFI システムでセキュアブートが有効になっていない場合は、--without-secureboot 引数を渡します。

     重要

     keylime-policy によって生成されるポリシーは、システムの現在の状態に基づいており、非常に厳格です。カーネルの更新やシステムの更新を含め、システムに変更を加えると、ブートプロセスが変更され、システムはアテステーションに失敗します。

3. 生成されたポリシーを、keylime_tenant ユーティリティーが設定されているシステムにコピーします。次に例を示します。

   # scp root@<agent_ip>:<./measured_boot_reference_state.json> <./measured_boot_reference_state.json>

   Copy to Clipboard

4. Keylime テナントが設定されているシステムで、keylime_tenant ユーティリティーを使用してエージェントをプロビジョニングします。

   # keylime_tenant --command add --targethost <agent_ip> --uuid <agent_uuid> --mb_refstate <./measured_boot_reference_state.json> --cert default

   Copy to Clipboard
   • <agent_ip> は、エージェントの IP アドレスに置き換えます。
   • <agent_uuid> は、エージェントの UUID に置き換えます。
   • <./measured_boot_reference_state.json> を、ブート測定ポリシーへのパスに置き換えます。

   ランタイム監視と一緒にブート測定を設定する場合は、keylime_tenant --command add コマンドを入力するときに両方のユースケースのオプションをすべて指定します。

   注記

   # keylime_tenant --command delete --targethost <agent_ip> --uuid <agent_uuid> コマンドを使用して、Keylime によるノードの監視を停止できます。

   keylime_tenant --command update コマンドを使用して、すでに登録されているエージェントの設定を変更できます。

検証

1. 監視対象システムを再起動し、エージェントのアテステーションが成功することを確認します。

   # keylime_tenant --command cvstatus --uuid <agent_uuid>
   ...
   {"<agent_uuid>": {"operational_state": "Get Quote"..."attestation_count": 5
   ...

   Copy to Clipboard

   <agent_uuid> は、エージェントの UUID に置き換えます。

   operational_state の値が Get Quote で、attestation_count が 0 以外の場合、このエージェントのアテステーションは成功しています。

   Operational_state の値が Invalid Quote か Failed の場合、アテステーションは失敗し、次のようなコマンド出力が表示されます。

   {"<agent_uuid>": {"operational_state": "Invalid Quote", ... "ima.validation.ima-ng.not_in_allowlist", "attestation_count": 5, "last_received_quote": 1684150329, "last_successful_attestation": 1684150327}}

   Copy to Clipboard

2. アテステーションが失敗した場合は、verifier ログで詳細を表示します。

   # journalctl -u keylime_verifier
   {"d432fbb3-d2f1-4a97-9ef7-75bd81c00000": {"operational_state": "Tenant Quote Failed", ... "last_event_id": "measured_boot.invalid_pcr_0", "attestation_count": 0, "last_received_quote": 1684487093, "last_successful_attestation": 0}}

   Copy to Clipboard

手順

1. aide パッケージをインストールします。

   # dnf install aide

   Copy to Clipboard

2. 初期データベースを生成します。

   # aide --init
   Start timestamp: 2024-07-08 10:39:23 -0400 (AIDE 0.16)
   AIDE initialized database at /var/lib/aide/aide.db.new.gz
   
   Number of entries:	55856
   
   ---------------------------------------------------
   The attributes of the (uncompressed) database(s):
   ---------------------------------------------------
   
   /var/lib/aide/aide.db.new.gz
   …
     SHA512   : mZaWoGzL2m6ZcyyZ/AXTIowliEXWSZqx
                IFYImY4f7id4u+Bq8WeuSE2jasZur/A4
                FPBFaBkoCFHdoE/FW/V94Q==

   Copy to Clipboard
3. オプション: デフォルト設定では、aide --init コマンドは、/etc/aide.conf ファイルで定義するディレクトリーとファイルのセットのみを確認します。ディレクトリーまたはファイルを AIDE データベースに追加し、監視パラメーターを変更するには、/etc/aide.conf を変更します。

4. データベースの使用を開始するには、初期データベースのファイル名から末尾の .new を削除します。

   # mv /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz

   Copy to Clipboard
5. オプション: AIDE データベースの場所を変更するには、/etc/aide.conf ファイルを編集し、DBDIR 値を変更します。追加のセキュリティーのデータベース、設定、/usr/sbin/aide バイナリーファイルを、読み取り専用メディアなどの安全な場所に保存します。

手順

1. 手動でチェックを開始するには、以下を行います。

   # aide --check
   Start timestamp: 2024-07-08 10:43:46 -0400 (AIDE 0.16)
   AIDE found differences between database and file system!!
   
   Summary:
     Total number of entries:	55856
     Added entries:		0
     Removed entries:		0
     Changed entries:		1
   
   ---------------------------------------------------
   Changed entries:
   ---------------------------------------------------
   
   f   ...      ..S : /root/.viminfo
   
   ---------------------------------------------------
   Detailed information about changes:
   ---------------------------------------------------
   
   File: /root/.viminfo
     SELinux  : system_u:object_r:admin_home_t:s | unconfined_u:object_r:admin_home
                0                                | _t:s0
   …

   Copy to Clipboard

2. 少なくとも、AIDE を毎週実行するようにシステムを設定します。最適な設定としては、AIDE を毎日実行します。たとえば、cron コマンドを使用して毎日午前 04:05 に AIDE を実行するようにスケジュールするには、/etc/crontab ファイルに次の行を追加します。

    05 4 * * * root /usr/sbin/aide --check

   Copy to Clipboard

手順

1. 基本となる AIDE データベースを更新します。

   # aide --update

   Copy to Clipboard

   aide --update コマンドは、/var/lib/aide/aide.db.new.gz データベースファイルを作成します。

2. 整合性チェックで更新したデータベースを使用するには、ファイル名から末尾の .new を削除します。

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: Configure system integrity
     hosts: managed-node-01.example.com
     tasks:
       - name: Configure file integrity checks with AIDE
         ansible.builtin.include_role:
           name: rhel-system-roles.aide.aide
         vars:
           aide_db_fetch_dir: files
           aide_init: true
           aide_check: false
           aide_update: false
           aide_cron_check: true
           aide_cron_interval: 0 12 * * *

   Copy to Clipboard

   サンプル Playbook で指定されている設定は次のとおりです。

   aide_db_fetch_dir: files

   リモートノードから取得した AIDE データベースを保存するための Ansible コントロールノード (ACN) 上のディレクトリーを指定します。デフォルトの files 値では、Playbook と同じディレクトリーにデータベースが保存されます。データベースファイルを別の場所に保存するには、別のパスを指定します。

   aide_check: false

   リモートノードで整合性チェックを実行します。

   aide_update: false

   AIDE データベースを更新し、コントロールノードに保存します。

   aide_cron_check: true

   管理対象ノードで AIDE 整合性チェックをアクティブ化する定期的な cron ジョブを設定します。

   aide_cron_interval: 0 12 * * *

   cron ジョブの間隔を <minute> <hour> <day_of_month> <month> <day of week> という形式で設定します。値を 0 12 * * * にすると、毎日正午にジョブを実行するように設定されます。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.aide/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard

手順

1. root で /etc/sudoers ファイルを開きます。

   # visudo

   Copy to Clipboard

   /etc/sudoers ファイルは、sudo コマンドによって適用されるポリシーを定義するものです。

2. /etc/sudoers ファイルで、wheel 管理グループのユーザーに sudo アクセスを付与する行を見つけます。

   ## Allows people in group wheel to run all commands
   %wheel        ALL=(ALL)       ALL

   Copy to Clipboard
3. %wheel で始まる行が番号記号 (#) でコメントアウトされていないことを確認してください。
4. 変更を保存し、エディターを終了します。

5. sudo アクセスを付与するユーザーを、wheel 管理グループに追加します。

    # usermod --append -G wheel <username>

   Copy to Clipboard

   <username> は、ユーザー名に置き換えます。

手順

1. root として、/etc/ の下に新しい sudoers.d/ ディレクトリーを作成します。

   # mkdir -p /etc/sudoers.d/

   Copy to Clipboard

2. /etc/sudoers.d/ ディレクトリーに新しいファイルを作成します。

   # visudo -f /etc/sudoers.d/<filename>

   Copy to Clipboard

   ファイルが自動的に開きます。

3. 次の行を /etc/sudoers.d/<filename> ファイルに追加します。

   <username> <hostname.example.com> = (<run_as_user>:<run_as_group>) <path/to/command>

   Copy to Clipboard
   • <username> は、ユーザー名に置き換えます。
   • <hostname.example.com> は、ホストの URL に置き換えます。
   • (<run_as_user>:<run_as_group>) は、コマンドを実行できるユーザーまたはグループに置き換えます。このセクションを省略すると、<username> は root としてコマンドを実行できます。
   • <path/to/command> は、コマンドへの完全な絶対パスに置き換えます。また、コマンドパスの後にオプションを追加することにより、特定のオプションおよび引数を指定したコマンドのみを実行するようにユーザーを制限することもできます。オプションを指定しないと、すべてのオプションが有効な状態でコマンドを使用できます。

   • 同じホストで 2 つ以上のコマンドを 1 行で許可するには、コンマで区切り、コンマの後にスペースを付けることができます。

     たとえば、user1 が host1.example.com で dnf および reboot コマンドを実行できるようにするには、user1 host1.example.com = /bin/dnf, /sbin/reboot と入力します。

4. オプション: ユーザーが sudo 権限を使用しようとするたびにメール通知を受け取るには、ファイルに次の行を追加します。

   Defaults    mail_always
   Defaults    mailto="<email@example.com>"

   Copy to Clipboard
5. 変更を保存し、エディターを終了します。

検証

1. ユーザーが sudo 特権でコマンドを実行できるかどうかを確認するには、アカウントを切り替えます。

   # su <username> -

   Copy to Clipboard

2. ユーザーとして、sudo コマンドを使用してコマンドを入力します。

   $ sudo <command>
   [sudo] password for <username>:

   Copy to Clipboard

   ユーザーの sudo パスワードを入力します。

3. 特権が正しく設定されている場合、システムはコマンドとオプションのリストを表示します。たとえば、dnf コマンドを使用すると、次の出力が表示されます。

   …
   usage: dnf [options] COMMAND
   …

   Copy to Clipboard

   システムが <username> is not in the sudoers file. This incident will be reported というエラーメッセージを返した場合、/etc/sudoers.d/ に <username> のファイルが存在しません。

   システムが <username> is not allowed to run sudo on <host.example.com> というエラーメッセージを返した場合、設定が正しく完了していません。root としてログインしていること、および設定が正しく実行されていることを確認してください。

   システムが Sorry, user <username> is not allowed to execute '<path/to/command>' as root on <host.example.com>. というエラーメッセージを返した場合、コマンドがユーザーのルールで正しく定義されていません。

手順

1. 次の内容を含む Playbook ファイル (例: ~/playbook.yml) を作成します。

   ---
   - name: "Configure sudo"
     hosts: managed-node-01.example.com
     tasks:
       - name: "Apply custom /etc/sudoers configuration"
         ansible.builtin.include_role:
           name: redhat.rhel_system_roles.sudo
         vars:
           sudo_sudoers_files:
             - path: "/etc/sudoers"
               user_specifications:
                 - users:
                     - <user_name>
                   hosts:
                     - <host_name>
                   commands:
                     - <path_to_command_binary>

   Copy to Clipboard

   Playbook で指定する設定は次のとおりです。

   users

   ルールを適用するユーザーのリスト。

   hosts

   ルールを適用するホストのリスト。すべてのホストの場合は ALL を使用できます。

   commands

   ルールを適用するコマンドのリスト。すべてのコマンドの場合は ALL を使用できます。

   Playbook で使用されるすべての変数の詳細は、コントロールノードの /usr/share/ansible/roles/rhel-system-roles.sudo/README.md ファイルを参照してください。

2. Playbook の構文を検証します。

   $ ansible-playbook --syntax-check ~/playbook.yml

   Copy to Clipboard

   このコマンドは構文を検証するだけであり、有効だが不適切な設定から保護するものではないことに注意してください。

3. Playbook を実行します。

   $ ansible-playbook ~/playbook.yml

   Copy to Clipboard