Red Hat Summit6.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント
OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS、HIPAA プロファイルなどのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用すると、修正スクリプトを使用して後で適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。
6.9.1. Server with GUI と互換性のないプロファイル
SCAP Security Guide の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベース環境に含まれる拡張パッケージセットと互換性がありません。したがって、次のいずれかのプロファイルに準拠するシステムをインストールする場合は、Server with GUI を選択しないでください。
| プロファイル名 | プロファイル ID | 理由 | 備考 |
|---|---|---|---|
| CIS Red Hat Enterprise Linux 8 Benchmark for Level 2 - Server |
|
パッケージ | |
| CIS Red Hat Enterprise Linux 8 Benchmark for Level 1 - Server |
|
パッケージ | |
| Unclassified Information in Non-federal Information Systems and Organizations (NIST 800-171) |
|
| |
| Protection Profile for General Purpose Operating Systems |
|
| |
| DISA STIG for Red Hat Enterprise Linux 8 |
|
パッケージ | RHEL バージョン 8.4 以降で、RHEL システムを DISA STIG に準拠した Server with GUI としてインストールするには、DISA STIG with GUI プロファイルを使用できます。 |
6.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント
この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。
SCAP Security Guide の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベース環境に含まれる拡張パッケージセットと互換性がありません。詳細は、GUI サーバーと互換性のないプロファイル を参照してください。
前提条件
-
グラフィカルインストールプログラムでシステムを起動している。OSCAP Anaconda アドオン はインタラクティブなテキストのみのインストールをサポートしていないことに注意してください。 -
インストール概要画面を開いている。
手順
-
インストール概要画面で、ソフトウェアの選択をクリックします。ソフトウェアの選択画面が開きます。 -
ベース環境ペインで、サーバー環境を選択します。ベース環境は、1 つだけ選択できます。 -
完了をクリックして設定を適用し、インストール概要画面に戻ります。 -
OSPP には、準拠する必要がある厳密なパーティション分割要件があるため、
/boot、/home、/var、/tmp、/var/log、/var/tmp、および/var/log/auditにそれぞれパーティションを作成します。 -
セキュリティーポリシーをクリックします。セキュリティーポリシー画面が開きます。 -
システムでセキュリティーポリシーを有効にするには、
セキュリティーポリシーの適用をONに切り替えます。 -
プロファイルペインで
Protection Profile for General Purpose Operating Systemsプロファイルを選択します。 -
プロファイルの選択をクリックして選択を確定します。 -
画面下部に表示される
Changes that were done or need to be doneの変更を確定します。残りの手動変更を完了します。 グラフィカルインストールプロセスを完了します。
注記グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。
/root/anaconda-ks.cfgファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。
検証
インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
関連情報
6.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
特定のベースラインに準拠した RHEL システムをデプロイできます。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。
前提条件
-
RHEL 8 システムに、
scap-security-guideパッケージがインストールされている。
手順
-
キックスタートファイル
/usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfgを、選択したエディターで開きます。 -
設定要件を満たすように、パーティション設定スキームを更新します。OSPP に準拠するには、
/boot、/home、/var、/tmp、/var/log、/var/tmp、および/var/log/auditの個別のパーティションを保持する必要があります。パーティションのサイズのみ変更することができます。 - キックスタートを使用した自動インストールの実行 の説明に従って、キックスタートインストールを開始します。
キックスタートファイルのパスワードでは、OSPP の要件が確認されていません。
検証
インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
