ホーム
製品
Red Hat Enterprise Linux
9
セキュリティーの強化
6.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント

6.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント

OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS、HIPAA プロファイルなどのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用すると、修正スクリプトを使用して後で適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。

6.9.1. Server with GUI と互換性のないプロファイル
リンクのコピー

SCAP Security Guide の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベース環境に含まれる拡張パッケージセットと互換性がありません。したがって、次のいずれかのプロファイルに準拠するシステムをインストールする場合は、Server with GUI を選択しないでください。

Expand

表6.1 Server with GUI と互換性のないプロファイル
プロファイル名	プロファイル ID	理由	注記
[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server	`xccdf_org.ssgproject.content_profile_cis`	パッケージ `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils`、`xorg-x11-server-Xwayland` は、Server with GUI パッケージセットの一部ですが、ポリシーにより削除する必要があります。
[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Server	`xccdf_org.ssgproject.content_profile_cis_server_l1`	パッケージ `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils`、`xorg-x11-server-Xwayland` は、Server with GUI パッケージセットの一部ですが、ポリシーにより削除する必要があります。
DISA STIG for Red Hat Enterprise Linux 9	`xccdf_org.ssgproject.content_profile_stig`	パッケージ `xorg-x11-server-Xorg`、`xorg-x11-server-common`、`xorg-x11-server-utils`、`xorg-x11-server-Xwayland` は、Server with GUI パッケージセットの一部ですが、ポリシーにより削除する必要があります。	RHEL システムを DISA STIG に準拠したServer with GUI としてインストールするには、DISA STIG with GUI プロファイルを使用できます (BZ#1648162)

6.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント
リンクのコピー

この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。

警告

SCAP Security Guide の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベース環境に含まれる拡張パッケージセットと互換性がありません。詳細は、GUI サーバーと互換性のないプロファイルを参照してください。

前提条件

グラフィカル インストールプログラムでシステムを起動している。OSCAP Anaconda アドオン はインタラクティブなテキストのみのインストールをサポートしていないことに注意してください。
インストール概要 画面を開いている。

手順

インストール概要 画面で、ソフトウェアの選択 をクリックします。ソフトウェアの選択 画面が開きます。
ベース環境 ペインで、サーバー 環境を選択します。ベース環境は、1 つだけ選択できます。
完了 をクリックして設定を適用し、インストール概要 画面に戻ります。
OSPP には、準拠する必要がある厳密なパーティション分割要件があるため、/boot、/home、/var、/tmp、/var/log、/var/tmp、および /var/log/audit にそれぞれパーティションを作成します。
セキュリティーポリシー をクリックします。セキュリティーポリシー 画面が開きます。
システムでセキュリティーポリシーを有効にするには、セキュリティーポリシーの適用 を ON に切り替えます。
プロファイルペインで Protection Profile for General Purpose Operating Systems プロファイルを選択します。
プロファイルの選択 をクリックして選択を確定します。
画面下部に表示される Changes that were done or need to be done の変更を確定します。残りの手動変更を完了します。
グラフィカルインストールプロセスを完了します。
注記
グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。/root/anaconda-ks.cfg ファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。

検証

インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。

oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Copy to Clipboard

Toggle word wrap

6.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
リンクのコピー

特定のベースラインに準拠した RHEL システムをデプロイできます。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。

前提条件

RHEL 9 システムに、scap-security-guide パッケージがインストールされている。

手順

キックスタートファイル /usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg を、選択したエディターで開きます。
設定要件を満たすように、パーティション設定スキームを更新します。OSPP に準拠するには、/boot、/home、/var、/tmp、/var/log、/var/tmp、および /var/log/audit の個別のパーティションを保持する必要があります。パーティションのサイズのみ変更することができます。
キックスタートを使用した自動インストールの実行の説明に従って、キックスタートインストールを開始します。

重要

キックスタートファイルのパスワードでは、OSPP の要件が確認されていません。

検証

インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。

oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

Copy to Clipboard

Toggle word wrap

トップに戻る

6.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント

6.9.1. Server with GUI と互換性のないプロファイル
リンクのコピー

6.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント
リンクのコピー

6.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント

6.9.1. Server with GUI と互換性のないプロファイルリンクのコピーリンクがクリップボードにコピーされました!

6.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメントリンクのコピーリンクがクリップボードにコピーされました!

6.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメントリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

6.9.1. Server with GUI と互換性のないプロファイル
リンクのコピー

6.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント
リンクのコピー

6.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント
リンクのコピー