Red Hat Summit6.13. オプション: セキュリティープロファイルの選択
Red Hat Enterprise Linux 8 のインストール中にセキュリティーポリシーを適用し、初回起動前にシステムで使用するように設定できます。
6.13.1. セキュリティーポリシーの概要
Red Hat Enterprise Linux には、特定のセキュリティーポリシーに合わせてシステムの自動設定を有効にする OpenSCAP スイートが同梱されています。このポリシーは、SCAP (Security Content Automation Protocol) 標準を使用して実装されます。パッケージは、AppStream リポジトリーで利用できます。ただし、デフォルトでは、インストールおよびインストール後のプロセスではポリシーが強制されないため、特に設定しない限りチェックは行われません。
インストールプログラムでは、セキュリティーポリシーを適用することは必須ではありません。システムにセキュリティーポリシーを適用する場合は、選択したプロファイルに定義した制限を使用してシステムがインストールされます。openscap-scanner パッケージおよび scap-security-guide パッケージがパッケージ選択に追加され、コンプライアンスおよび脆弱性スキャンのプリインストールツールが利用できるようになります。
セキュリティーポリシーを選択すると、Anaconda GUI インストーラーでは、ポリシーの要件に準拠する設定が必要になります。パッケージの選択が競合したり、別のパーティションが定義されている場合があります。要件がすべて満たされた場合に限り、インストールを開始できます。
インストールプロセスの終了時に、選択した OpenSCAP セキュリティーポリシーにより、システムが自動的に強化され、スキャンされてコンプライアンスが確認され、インストール済みシステムの /root/openscap_data ディレクトリーにスキャン結果が保存されます。
デフォルトでは、インストーラーは、インストールイメージにバンドルされている scap-security-guide パッケージの内容を使用します。外部コンテンツは、HTTP サーバー、HTTPS サーバー、または FTP サーバーから読み込むこともできます。
6.13.2. セキュリティープロファイルの設定
Installation Summary ウィンドウからセキュリティーポリシーを設定できます。
前提条件
- Installation Summary 画面が開いている。
手順
- Installation Summary ウィンドウで、Security Profile をクリックします。Security Profile ウィンドウが開きます。
- システムでセキュリティーポリシーを有効にするには、Apply security policy スイッチを ON に切り替えます。
- 上部ペインに表示されているプロファイルから 1 つ選択します。
をクリックします。
インストール前に適用が必要なプロファイルの変更が、下部ペインに表示されます。
カスタムプロファイルを使用するには、 をクリックします。
別の画面が開いて、有効なセキュリティーコンテンツの URL を入力できます。
をクリックして URL を取得します。
HTTP サーバー、HTTPS サーバー、または FTP サーバーから、カスタムプロファイルを読み込むこともできます。コンテンツのフルアドレス (http:// などのプロトコルを含む) を使用してください。カスタムプロファイルを読み込む前に、ネットワーク接続がアクティブになっている必要があります。インストールプログラムは、コンテンツの種類を自動的に検出します。
- をクリックして、Security Profile ウィンドウに戻ります。
- をクリックして設定を適用し、Installation Summary ウィンドウに戻ります。
6.13.3. Server with GUI と互換性のないプロファイル
SCAP Security Guide の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベース環境に含まれる拡張パッケージセットと互換性がありません。したがって、次のいずれかのプロファイルに準拠するシステムをインストールする場合は、Server with GUI を選択しないでください。
| プロファイル名 | プロファイル ID | 理由 | 備考 |
|---|---|---|---|
| CIS Red Hat Enterprise Linux 8 Benchmark for Level 2 - Server |
|
パッケージ | |
| CIS Red Hat Enterprise Linux 8 Benchmark for Level 1 - Server |
|
パッケージ | |
| Unclassified Information in Non-federal Information Systems and Organizations (NIST 800-171) |
|
| |
| Protection Profile for General Purpose Operating Systems |
|
| |
| DISA STIG for Red Hat Enterprise Linux 8 |
|
パッケージ | RHEL バージョン 8.4 以降で、RHEL システムを DISA STIG に準拠した Server with GUI としてインストールするには、DISA STIG with GUI プロファイルを使用できます。 |
6.13.4. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
特定のベースラインに準拠した RHEL システムをデプロイできます。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。
前提条件
-
RHEL 8 システムに、
scap-security-guideパッケージがインストールされている。
手順
-
キックスタートファイル
/usr/share/scap-security-guide/kickstart/ssg-rhel8-ospp-ks.cfgを、選択したエディターで開きます。 -
設定要件を満たすように、パーティション設定スキームを更新します。OSPP に準拠するには、
/boot、/home、/var、/tmp、/var/log、/var/tmp、および/var/log/auditの個別のパーティションを保持する必要があります。パーティションのサイズのみ変更することができます。 - キックスタートを使用した自動インストールの実行 の説明に従って、キックスタートインストールを開始します。
キックスタートファイルのパスワードでは、OSPP の要件が確認されていません。
検証
インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml
