第59章 セキュリティー
scap-security-guide サンプルキックスタートファイルの Red Hat Enterprise Linux 6 向けキックスタートファイルの使用は推奨されません。
Red Hat Enterprise Linux 6 のサンプルキックスタートファイルは、Red Hat Enterprise Linux 7 の scap-security-guide パッケージに含まれています。アップストリームリポジトリーから直接最新バージョンの scap-security-guide パッケージをインストールします。つまり、このバージョンは Red Hat Quality Engineering チームによってチェックされていません。この問題を回避するには、現在の Red Hat Enterprise Linux 6 リリースに含まれる scap-security-guide パッケージの修正済み Red Hat Enterprise Linux 6 のサンプルキックスタートファイルを使用するか、キックスタートファイルの %post セクションを手動で変更します。Red Hat Enterprise Linux 7 のサンプルキックスタートファイルは、この問題の影響を受けません。(BZ#1378489)
openscap パッケージは、依存関係として atomic をインストールしない
OpenSCAP スイートは、標準の SCAP (Security Content Automation Protocol)行の統合を可能にします。現在のバージョンは、atomic scan コマンドおよび oscap-docker コマンドを使用してコンテナーをスキャンする機能を追加します。ただし、openscap パッケージ、openscap-utils パッケージ、および openscap-scanner パッケージのみをインストールすると、atomic パッケージはデフォルトでインストールされません。その結果、コンテナースキャンコマンドが失敗し、エラーメッセージが表示されます。この問題を回避するには、root で yum install atomic コマンドを実行して、atomic パッケージをインストールします。(BZ#1356547)
CIL
には個別のモジュールステートメントがありません
新しい SELinux ユーザー空間は、モジュールストアで SELinux Common Intermediate Language (CIL)を使用します。CIL はファイルをモジュールとして扱い、個別のモジュールステートメントを持たないため、モジュールにはファイル名の後に名前が付けられます。これにより、ポリシーモジュールがベースファイル名と同じ名前を持ち、semodule -l コマンドでモジュールのバージョンが表示されない場合に混乱が生じる可能性があります。また、semodule -l は無効なモジュールを表示しません。この問題を回避するには、semodule --l=full コマンドを使用して、すべてのモジュールを一覧表示します。(BZ#1345825)