3.5. インストール後の作業の完了
AMD64、Intel 64、および 64 ビット ARM システムに Red Hat Enterprise Linux をインストールしたら、システムを登録してセキュリティーを確保する必要があります。
要件に応じて、システムを登録する方法は複数あります。これらの方法のほとんどは、インストール後のタスクの一環として完了します。ただし、登録済みシステムには、インストールプロセスが開始される 前 に、Red Hat コンテンツ配信ネットワーク (CDN) を介して、サブスクライブした製品向けの、保護されたコンテンツリポジトリーにアクセスする権限が与えられます。詳細は、CDN から RHEL の登録およびインストール を参照してください。
3.5.1. RHEL システムを Red Hat に登録する方法
登録することで、システムと Red Hat 間で認可済みの接続が確立されます。Red Hat は、登録されたシステム (物理マシンか仮想マシンかを問わず) に、システムを識別および認証する証明書を発行して、Red Hat から保護されたコンテンツ、ソフトウェア更新、セキュリティーパッチ、サポート、および管理サービスをシステムが受けられるようにします。
有効なサブスクリプションを使用すると、以下の方法で Red Hat Enterprise Linux (RHEL) システムを登録できます。
- インストーラーのグラフィカルユーザーインターフェイス (GUI) またはテキストユーザーインターフェイス (TUI) を使用して、インストールプロセス中に登録する
- インストール後にコマンドラインインターフェイス (CLI) を使用する
- インストール時またはインストール後に自動的にキックスタートスクリプトまたはアクティベーションキーを使用する
システムを登録する特定の手順は、使用している RHEL のバージョンと、選択した登録方法によって異なります。
システムを Red Hat に登録すると、システムの管理とレポートデータに使用できる機能が有効になります。たとえば、登録済みシステムには、Red Hat コンテンツ配信ネットワーク (CDN) または Red Hat Satellite Server を介して、サブスクライブした製品向けの、保護されたコンテンツリポジトリーにアクセスする権限が与えられます。これらのコンテンツリポジトリーには、アクティブなサブスクリプションを持つお客様のみが利用できる Red Hat ソフトウェアパッケージと更新が含まれています。これらのパッケージおよび更新には、RHEL およびその他の Red Hat 製品のセキュリティーパッチ、バグ修正、新機能が含まれます。
エンタイトルメントベースのサブスクリプションモデルは非推奨となり、将来廃止される予定です。Simple Content Access がデフォルトのサブスクリプションモデルになりました。これにより、システムの Red Hat サブスクリプションコンテンツにアクセスする前に、そのシステムにサブスクリプションを割り当てる必要がなくなり、サブスクリプションエクスペリエンスが向上します。お使いの Red Hat アカウントでエンタイトルメントベースのサブスクリプションモデルを使用している場合は、Red Hat アカウントチーム (テクニカルアカウントマネージャー (TAM) やソリューションアーキテクト (SA) など) に問い合わせて、Simple Content Access への移行の準備をしてください。詳細は、Transition of subscription services to the hybrid cloud を参照してください。
3.5.2. Subscription Manager ユーザーインターフェイスを使用したシステム登録
このセクションでは、Subscription Manager ユーザーインターフェイスを使用して Red Hat Enterprise Linux 9 システムを登録し、更新を受け取って、パッケージリポジトリーにアクセスする方法を説明します。
前提条件
- カスタマーポータルからの ISO イメージを使用した RHEL のインストール に記載されている推奨ワークフローに従って、グラフィカルインストールを完了している。
- アクティブで、評価版以外の Red Hat Enterprise Linux サブスクリプションがある。
- Red Hat のサブスクリプションステータスを確認している。
手順
- システムにログインします。
- Activities に移動します。
- メニューオプションから、アプリケーションを表示する アイコンをクリックします。
- Red Hat Subscription Manager アイコンをクリックするか、検索に Red Hat Subscription Manager と入力します。
認証が必要です ダイアログボックスで管理者パスワードを入力します。
注記システムで特権タスクを実行するには、認証が必要です。
サブスクリプション 画面が開き、サブスクリプションの現在のステータス、システムの目的、インストール済み製品が表示されます。赤い X が表示されているインストール済み製品は、現在割り当てられているサブスクリプションではサポートされません。
- をクリックします。Register System ダイアログボックスが開きます。
- カスタマーポータル の認証情報を入力し、 をクリックします。
Subscriptions ウィンドウの Register ボタンが Unregister に変わり、インストール済み製品に緑色の X が表示されます。登録が成功したかどうかは、ターミナルウィンドウから subscription-manager status コマンドを使用して確認できます。追加情報については、/var/log/rhsm/rhsm.log ファイルを参照してください。org/account が Simple Content Access モードで運用されている場合、システム全体のコンプライアンスステータスが Disabled とマークされます。
3.5.3. インストーラー GUI を使用した RHEL 9 の登録
RHEL インストーラー GUI を使用して Red Hat Enterprise Linux 9 を登録するには、次の手順を実行します。
前提条件
- Red Hat カスタマーポータルに有効なユーザーアカウントがある。Create a Red Hat Login ページを参照してください。
- 有効なアクティベーションキーと組織 ID を持っている。
手順
- Installation Summary 画面の Software で、Connect to Red Hat をクリックします。
- Account または Activation Key オプションを使用して、Red Hat アカウントを認証します。
オプション: Set System Purpose フィールドで、設定する Role、SLA、および Usage 属性をドロップダウンメニューから選択します。
この時点で、Red Hat Enterprise Linux 9 システムは正常に登録されています。
3.5.4. Registration Assistant
Registration Assistant は、お使いの Red Hat Enterprise Linux 環境に最適な登録オプションの選択をサポートします。
関連情報
- ユーザー名とパスワードを使用して RHEL を Subscription Manager クライアントに登録する方法は、カスタマーポータルの RHEL 登録アシスタント を参照してください。
- RHEL システムを Red Hat Insights に登録する方法は、Hybrid Cloud Console の Insights 登録アシスタント を参照してください。
3.5.5. コマンドラインでシステムの登録
コマンドラインから Red Hat Enterprise Linux 9 サブスクリプションを登録できます。
ホストを Red Hat に登録するエクスペリエンスを改善および簡素化するには、リモートホスト設定 (RHC) を使用します。RHC クライアントはシステムを Red Hat に登録し、Insights のデータ収集に備えてシステムの準備を完了し、Insights for Red Hat Enterprise Linux から直接問題を修復できるようにします。詳細は、RHC の登録 を参照してください。
前提条件
- アクティブで、評価版ではない Red Hat Enterprise Linux サブスクリプションを持っている。
- Red Hat のサブスクリプションステータスを確認している。
- Red Hat Enterprise Linux 9 サブスクリプションを受け取ったことがない。
- Red Hat Enterprise Linux 9 システムを正常にインストールし、root としてログインしている。
手順
- root ユーザーとしてターミナルウィンドウを開きます。
アクティベーションキーを使用して Red Hat Enterprise Linux システムを登録します。
# subscription-manager register --activationkey=<activation_key_name> --org=<organization_ID>
システムが正常に登録されると、次の例のような出力が表示されます。
The system has been registered with id: 62edc0f8-855b-4184-b1b8-72a9dc793b96
3.5.6. subscription-manager コマンドラインツールを使用したシステムの目的の設定
システムの目的は、Red Hat Enterprise Linux インストールの機能の 1 つです。この機能は、Red Hat Hybrid Cloud Console で提供されるサブスクリプションエクスペリエンスとサービスのメリットを RHEL のお客様に提供するためのものです。Red Hat Hybrid Cloud Console は、ダッシュボードベースの Software-as-a-Service (SaaS) アプリケーションであり、これを使用すると、Red Hat アカウントのサブスクリプション使用状況を表示できます。
システム目的属性は、アクティベーションキーまたはサブスクリプションマネージャーツールを使用して設定できます。インストールプロセスでシステムの目的を設定しなかった場合は、インストール後に subscription-manager syspurpose コマンドラインツールを使用して必要な属性を設定できます。
前提条件
- Red Hat Enterprise Linux 9 システムをインストールして登録しているが、システムの目的が設定されていない。
rootユーザーとしてログインしている。注記エンタイトルメントモードでは、システムが登録されているものの、必要な目的を満たさないサブスクリプションがある場合、
subscription-manager Remove --allコマンドを実行して、割り当てたサブスクリプションを削除できます。次に、コマンドラインの subscription-manager syspurpose {ロール、使用条件、サービスレベル} ツールを使用して必要な目的属性を設定し、最後にsubscription-manager attach --autoを実行して、更新した属性を考慮してシステムを再登録できます。一方、SCA が有効なアカウントでは、システム内のサブスクリプションを更新せずに、登録後にシステムの目的の詳細を直接更新できます。
手順
端末で、次のコマンドを実行して、システムの目的のロールを設定します。
# subscription-manager syspurpose role --set "VALUE"
VALUEを、割り当てるロールに置き換えます。-
Red Hat Enterprise Linux Server -
Red Hat Enterprise Linux Workstation -
Red Hat Enterprise Linux Compute Node
以下に例を示します。
# subscription-manager syspurpose role --set "Red Hat Enterprise Linux Server"
オプション: 値を設定する前に、組織のサブスクリプションがサポートする利用可能なロールを確認します。
# subscription-manager syspurpose role --list
必要に応じて、次のコマンドを実行してロールの設定を解除します。
# subscription-manager syspurpose role --unset
-
次のコマンドを実行して、希望するシステムのサービスレベルアグリーメント (SLA) を設定します。
# subscription-manager syspurpose service-level --set "VALUE"
VALUEを、割り当てる SLA に置き換えます。-
Premium -
Standard -
Self-Support
以下に例を示します。
# subscription-manager syspurpose service-level --set "Standard"
オプション: 値を設定する前に、組織のサブスクリプションがサポートする利用可能なサービスレベルを確認します。
# subscription-manager syspurpose service-level --list
必要に応じて、次のコマンドを実行して SLA の設定を解除します。
# subscription-manager syspurpose service-level --unset
-
次のコマンドを実行して、希望する使用方法をシステムに設定します。
# subscription-manager syspurpose usage --set "VALUE"
VALUEを、割り当てる使用方法に置き換えます。-
Production -
Disaster Recovery -
Development/Test
以下に例を示します。
# subscription-manager syspurpose usage --set "Production"
オプション: 値を設定する前に、組織のサブスクリプションがサポートする利用可能な使用条件を確認します。
# subscription-manager syspurpose usage --list
必要に応じて、次のコマンドを実行して、使用方法の設定を解除します。
# subscription-manager syspurpose usage --unset
-
次のコマンドを実行して、現在のシステム目的のプロパティーを表示します。
# subscription-manager syspurpose --show
オプション: 詳細な構文情報については、以下のコマンドを実行して
subscription-managerの man ページにアクセスし、SYSPURPOSE OPTIONS を参照します。# man subscription-manager
検証手順
エンタイトルメントモードが有効になっているアカウントを使用して登録したシステムで、システムのサブスクリプションステータスを確認するには、次の手順を実行します。
# subscription-manager status +-------------------------------------------+ System Status Details +-------------------------------------------+ Overall Status: Current System Purpose Status: Matched
-
全体的なステータス
Currentとは、インストールされている製品がすべて割り当てられたサブスクリプションの対象となり、コンテンツセットリポジトリーにアクセスするためのエンタイトルメントが付与されています。 -
システム目的のステータス
Matchedとは、システムに設定したすべてのシステム目的の属性 (ロール、使用条件、サービスレベル) が、割り当てられたサブスクリプションによって満たされることを意味します。 - ステータス情報が理想的ではない場合、システム管理者がインストール済みの製品と目的のシステムの目的に対応するために、アタッチされているサブスクリプションに加える修正を決定するのに役立つ追加情報が表示されます。
-
全体的なステータス
SCA モードが有効になっているアカウントを使用して登録したシステムで、システムのサブスクリプションステータスを確認するには、次の手順を実行します。
# subscription-manager status +-------------------------------------------+ System Status Details +-------------------------------------------+ Overall Status: Disabled Content Access Mode is set to Simple Content Access. This host has access to content, regardless of subscription status. System Purpose Status: Disabled
- SCA モードでは、サブスクリプションを個々のシステムに割り当てる必要はありません。したがって、全体的なステータスとシステムの目的のステータスの両方が Disabled として表示されます。ただし、システム目的属性によって提供される技術、ビジネス、および運用のユースケースは、サブスクリプションサービスには重要です。これらの属性がないと、サブスクリプションサービスデータの精度が低下します。
関連情報
- サブスクリプションサービスの詳細は、サブスクリプションサービスの使用ガイド を参照してください。
3.5.7. システムの保護
Red Hat Enterprise Linux をインストールしたらすぐに、次のセキュリティー関連の手順を完了してください。
前提条件
- グラフィカルインストールを完了している。
手順
root で以下のコマンドを実行して、システムを更新します。
# dnf update
ファイアウォールサービスの
firewalldは、Red Hat Enterprise Linux のインストールで自動的に有効になっていますが、キックスタート設定などで明示的に無効となっている場合もあります。このような場合は、ファイアウォールを再度有効にすることが推奨されます。firewalldを開始するには、root で次のコマンドを実行します。# systemctl start firewalld # systemctl enable firewalld
セキュリティーを強化するために、不要なサービスは無効にしてください。たとえば、コンピューターにプリンターがインストールされていなければ、次のコマンドを実行して cups サービスを無効にします。
# systemctl mask cups
アクティブなサービスを確認するには、次のコマンドを実行します。
$ systemctl list-units | grep service
3.5.8. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント
OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS、HIPAA プロファイルなどのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用すると、修正スクリプトを使用して後で適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。
3.5.8.1. GUI を備えたサーバーと互換性のないプロファイル
SCAP セキュリティーガイド の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベースの環境の拡張パッケージセットと互換性がない場合があります。したがって、次のプロファイルのいずれかに準拠するシステムをインストールする場合は、Server with GUIを選択しないでください。
| プロファイル名 | プロファイル ID | 理由 | 注記 |
|---|---|---|---|
| [ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server |
|
パッケージ | |
| [ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Server |
|
パッケージ | |
| DISA STIG for Red Hat Enterprise Linux 9 |
|
パッケージ | RHEL システムを DISA STIG に準拠したServer with GUI としてインストールするには、DISA STIG with GUI プロファイルを使用できます (BZ#1648162) |
3.5.8.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント
この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。
SCAP セキュリティーガイド の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベースの環境の拡張パッケージセットと互換性がない場合があります。詳細は、GUI サーバーと互換性のないプロファイル を参照してください。
前提条件
-
グラフィカルインストールプログラムでシステムを起動している。OSCAP Anaconda アドオン はインタラクティブなテキストのみのインストールをサポートしていないことに注意してください。 -
インストール概要画面を開いている。
手順
-
インストール概要画面で、ソフトウェアの選択をクリックします。ソフトウェアの選択画面が開きます。 -
ベース環境ペインで、サーバー環境を選択します。ベース環境は、1 つだけ選択できます。 -
完了をクリックして設定を適用し、インストール概要画面に戻ります。 -
OSPP には、準拠する必要がある厳密なパーティション分割要件があるため、
/boot、/home、/var、/tmp、/var/log、/var/tmp、および/var/log/auditにそれぞれパーティションを作成します。 -
セキュリティーポリシーをクリックします。セキュリティーポリシー画面が開きます。 -
システムでセキュリティーポリシーを有効にするには、
セキュリティーポリシーの適用をONに切り替えます。 -
プロファイルペインで
Protection Profile for General Purpose Operating Systemsプロファイルを選択します。 -
プロファイルの選択をクリックして選択を確定します。 -
画面下部に表示される
Protection Profile for General Purpose Operating Systemsの変更を確定します。残りの手動変更を完了します。 グラフィカルインストールプロセスを完了します。
注記グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。
/root/anaconda-ks.cfgファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。
検証
インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
関連情報
3.5.8.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。
前提条件
-
RHEL 9 システムに、
scap-security-guideパッケージがインストールされている。
手順
-
キックスタートファイル
/usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfgを、選択したエディターで開きます。 -
設定要件を満たすように、パーティション設定スキームを更新します。OSPP に準拠するには、
/boot、/home、/var、/tmp、/var/log、/var/tmp、および/var/log/auditの個別のパーティションを保持する必要があります。パーティションのサイズのみ変更することができます。 - キックスタートインストールを開始する方法は、キックスタートインストールの開始を参照してください。
キックスタートファイルのパスワードでは、OSPP の要件が確認されていません。
検証
インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml
3.5.9. 次のステップ
インストール後の必要なステップを完了したら、基本的なシステム設定を設定できます。dnf を使用したソフトウェアのインストール、systemd を使用したサービスの管理、ユーザー、グループ、およびファイルパーミッションの管理、chrony を使用した NTP の設定、および Python 3 の使用などの作業は、Configuring basic system settings を参照してください。
