ホーム
製品
Red Hat Enterprise Linux
10
セキュリティーの強化
5.4. キックスタートを使用した RHEL のハードニングインストール

5.4. キックスタートを使用した RHEL のハードニングインストール

DISA STIG、CIS、ANSSI などの特定のセキュリティープロファイルにシステムを準拠させる必要がある場合は、ハードニングの設定を定義したキックスタートファイルを準備し、テーラリングファイルを使用して設定をカスタマイズし、ハードニングされたシステムの自動インストールを開始できます。

前提条件

openscap-scanner がシステムにインストールされている。
scap-security-guide パッケージがシステムにインストールされている。パッケージのバージョンが、インストールする必要がある RHEL のバージョンと一致している。詳細は、Supported versions of the SCAP Security Guide in RHEL を参照してください。異なるバージョンを使用すると競合が発生する可能性があります。
注記
システムの RHEL のバージョンが、インストールする必要があるバージョンと同じ場合は、scap-security-guide パッケージを直接インストールできます。

手順

データストリームファイルからセキュリティープロファイルの ID を見つけます。

oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

$ oscap info /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml
Profiles:
…
  Title: Australian Cyber Security Centre (ACSC) Essential Eight
	Id: xccdf_org.ssgproject.content_profile_e8
  Title: Health Insurance Portability and Accountability Act (HIPAA)
	Id: xccdf_org.ssgproject.content_profile_hipaa
  Title: PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 10
	Id: xccdf_org.ssgproject.content_profile_pci-dss
…

Copy to Clipboard

Toggle word wrap

オプション: XCCDF テーラリングファイルを使用してハードニングをカスタマイズする場合は、openscap-utils パッケージで提供される autotailor コマンドを使用できます。詳細は、autotailor を使用したセキュリティープロファイルのカスタマイズを参照してください。

SCAP ソースデータストリームからキックスタートファイルを生成します。

oscap xccdf generate fix --profile <profile_ID> --output <kickstart_file>.cfg --fix-type kickstart /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

$ oscap xccdf generate fix --profile <profile_ID> --output <kickstart_file>.cfg --fix-type kickstart /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

Copy to Clipboard

Toggle word wrap

テーラリングファイルを使用する場合は、--tailoring-file tailoring.xml オプションとカスタムプロファイル ID を使用して、生成されたキックスタートファイルにテーラリングファイルを埋め込みます。次に例を示します。

oscap xccdf generate fix --tailoring-file tailoring.xml --profile <custom_profile_ID> --output <kickstart_file>.cfg --fix-type kickstart ./ssg-rhel10-ds.xml

$ oscap xccdf generate fix --tailoring-file tailoring.xml --profile <custom_profile_ID> --output <kickstart_file>.cfg --fix-type kickstart ./ssg-rhel10-ds.xml

Copy to Clipboard

Toggle word wrap

生成された <kickstart_file>.cfg を確認し、デプロイメントのニーズに合わせて必要に応じて手動で変更します。ファイル内のコメントの指示に従ってください。
注記
変更の内容によっては、キックスタートファイルによってインストールされるシステムのコンプライアンスに影響が及ぶ可能性があります。たとえば、一部のセキュリティーポリシーには、定義済みのパーティションや特定のパッケージおよびサービスが必要です。
インストール用のキックスタートファイルを使用します。インストーラーがキックスタートを使用できるように、キックスタートを Web サーバー経由で提供するか、PXE で提供するか、ISO イメージに埋め込みます。詳細な手順については、「RHEL の自動インストール」ドキュメントの RHEL の完全自動および半自動インストールの章を参照してください。
インストールが完了すると、システムが自動的に再起動します。再起動後、ログインして、/root ディレクトリーに保存されているインストール SCAP レポートを確認します。

検証

システムのコンプライアンスをスキャンし、レポートを HTML ファイルに保存して確認します。

元のプロファイルを使用する場合:

oscap xccdf eval --report report.html --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

# oscap xccdf eval --report report.html --profile <profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

Copy to Clipboard

Toggle word wrap

カスタマイズしたプロファイルを使用する場合:

oscap xccdf eval --report report.html --tailoring-file tailoring.xml --profile <custom_profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

# oscap xccdf eval --report report.html --tailoring-file tailoring.xml --profile <custom_profile_ID> /usr/share/xml/scap/ssg/content/ssg-rhel10-ds.xml

Copy to Clipboard

Toggle word wrap

トップに戻る

5.4. キックスタートを使用した RHEL のハードニングインストール

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links