2.3. USGCB 準拠のインストールイメージの作成


Red Hat Enterprise Linux 6 の scap-security-guide パッケージには、専用のキックスタートファイルが含まれており、米国政府共通設定基準(USGCB ) 標準に準拠する強化されたシステムをインストールするために使用できます。これは、この標準への準拠が政府の規制で要求される場合に便利です。
このキックスタート設定は、Red Hat Enterprise Linux 6 の Server バリアントで使用できます。これを使用すると、インストール後のスクリプトの一部として USGCB プロファイルに準拠するように OpenSCAP によりシステムが自動的に設定されます。インストールが完了したら、インストール済みシステムの /root/ ディレクトリーに置かれたレポートを確認できます。
注記
scap-security-guide が提供するキックスタートファイルには、必要なすべてのコマンドが含まれており、インストールは完全に自動的に行われます。
また、最新のベンチマークをダウンロードするには、インストール中にキックスタートファイルがインターネットにアクセスする必要があることに注意してください。
OpenSCAP を使用したコンプライアンスおよび脆弱性スキャンの詳細は、Red Hat Enterprise Linux 6 セキュリティーガイド の該当する章を参照してください。
キックスタートファイルを取得するには、既存の Red Hat Enterprise Linux 6 システムに scap-security-guide パッケージをインストールします。パッケージがインストールされたら、キックスタートファイル /usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg にあります。
ファイルを取得したら、ホームディレクトリーにコピーし、プレーンテキストエディターで編集します。参考までに、ファイルの 「キックスタートのオプション」 およびコメントを使用します。コメントには Common Configuration Enumeration (CCE)識別子番号が示されています。これらの情報は CCE Archive で見つけることができます。
変更可能なキックスタートファイルの注目すべき部分は以下のとおりです。
  • パッケージリポジトリーの場所 - url コマンドHTTP または FTP サーバーでパッケージリポジトリーを使用するには、デフォルトの IP アドレスを、パッケージリポジトリーを含むサーバーのアドレスに置き換えます。このコマンドを、それぞれ NFS サーバー、光学ドライブ、またはローカルハードドライブからインストールする nfscdrom、または harddrive のいずれかに置き換えます。
  • システム言語、キーボードのレイアウト、タイムゾーン: lang コマンド、キーボード、および タイムゾーン コマンド。
  • root パスワード - rootpw コマンドデフォルトでは、このキックスタートで設定した root パスワードは server です。必ず新しいチェックサムを生成して変更してください。
  • ブートローダーのパスワード - ブートローダー --password= コマンドデフォルトのパスワードは password です。必ず新しいチェックサムを生成して変更してください。
  • ネットワーク設定 - network コマンドDHCP を使用した自動設定はデフォルトで有効になっています。必要に応じて設定を調整します。
  • パッケージの選択:ファイルの %packages セクションを変更して、必要なパッケージおよびグループをインストールします。
    重要
    パッケージ gitaide、および openscap-utils を常にインストールする必要があります。これらは、キックスタートファイルおよびインストール後の OpenSCAP システム評価が機能するために必要です。
  • ディスクパーティションレイアウト: part コマンド、volgroup コマンド、および logvol コマンド。
    USGCB 標準は、準拠システムのディスクレイアウトの具体的な要件を定義します。つまり、デフォルトのキックスタートファイル( /home/tmp/var/log、および /var/ log/audit )で定義された論理ボリュームは、常に別のパーティションまたは論理ボリュームとして作成する必要があります。また、Red Hat Enterprise Linux では、/ および swap/boot 物理パーティションとボリュームを作成する必要があります。これらはすべてデフォルトのキックスタートで定義されているので、別の論理ボリュームまたはパーティションを追加して、デフォルトのサイズを変更できます。
    注記
    デフォルトでは、/var/log/audit ボリュームは 512 MB の領域のみを使用します。大量の呼び出しが監査されるため、そのサイズを 1024 MB 以上に増やすことを強く推奨します。
残りのキックスタートファイルはそのまま使用できます。ファイルの変更が完了したら、「キックスタートブートメディアの作成」 に進んで ISO イメージに配置し、それを使用して新しいシステムをインストールします。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.