Red Hat Summit第2章 コンプライアンスサービスの使用を開始する
このセクションでは、コンプライアンスデータを Insights for RHEL アプリケーションに報告するように RHEL システムを設定する方法を説明します。これにより、コンプライアンススキャンの実行に使用される SCAP セキュリティーガイド (SSG) などの必要な追加コンポーネントがインストールされます。
前提条件
- Insights クライアントがシステムにデプロイされている。
- システムに対する root 権限がある。
手順
システム上の RHEL のバージョンを確認します。
[user@insights]$ cat /etc/redhat-release
Insights のコンプライアンス - サポートされている設定 の記事を確認し、システムでサポートされている RHEL マイナーバージョンの SSG バージョンをメモします。
注記一部のマイナーバージョンの RHEL は、複数のバージョンの SSG をサポートしています。Insights コンプライアンスサービスは、サポートされている最新バージョンの結果を常に表示します。
サポートされているバージョンの SSG パッケージがシステムにインストールされているかどうかを確認します。
例 - RHEL 8.4 の場合は以下を実行します。
[root@insights]# dnf info scap-security-guide-0.1.57-3.el8_4
まだインストールされていない場合は、サポートされているバージョンの SSG をシステムにインストールします。
例 - RHEL 8.4 の場合は以下を実行します。
[root@insights]# dnf install scap-security-guide-0.1.57-3.el8_4
Insights コンプライアンスサービスの UI を使用するか、CLI で
insights-clientコマンドを使用して、システムをポリシーに割り当てます。コンプライアンスサービス UI を使用して、セキュリティー > コンプライアンス >SCAP ポリシー に移動し、次のいずれかの方法でシステムを追加します。
CLI で次の
insights-clientコマンドを使用してシステムを追加することもできます。-
利用可能なポリシーとそれに関連付けられた ID をリスト表示するには、
insights-client --compliance-policiesを使用します。 insights-client --compliance-assign <ID>insights-clientコマンドを使用してシステムを追加する方法の詳細は、以下を参照してください。- FedRAMP に準拠した RHEL システムのセキュリティーポリシーコンプライアンスの評価および監視 の Insights for RHEL コンプライアンスサービスでの SCAP セキュリティーポリシーの管理
- FedRAMP に準拠した Red Hat Insights のクライアント設定ガイド の Insights クライアントのオプション
-
利用可能なポリシーとそれに関連付けられた ID をリスト表示するには、
各システムを必要なセキュリティーポリシーに追加した後、システムに戻り、次のコマンドを使用してコンプライアンススキャンを実行します。
[root@insights]# insights-client --compliance
注記スキャンが完了するまで 1-5 分かかる場合があります。
- 結果を表示するには、Security > Compliance > Reports に移動します。
-
オプション:
cronを使用して実行するようにコンプライアンスジョブをスケジュールします。
関連情報
- Red Hat Enterprise Linux マイナーバージョンでサポートされている SCAP セキュリティーガイドのバージョンは、Insights コンプライアンス - サポートされている設定 を参照してください。
2.1. Insights サービスの定期スキャンの設定
コンプライアンスやマルウェア検出などの Red Hat Insights サービスから最も正確な推奨事項を取得するには、定期的に手動でスキャンし、データ収集レポートをサービスにアップロードする必要がある場合があります。
コマンドを手動で実行するには、次の insights-client コマンドを使用します。
# insights-client --compliance # insights-client --collector malware-detection
現在、Insights にはスキャンを実行する自動スケジューラーはありませんが、自動スキャンをスケジュールする cron ジョブを設定することはできます。
cron ジョブを作成する前に、コマンドを手動で実行しても正しく動作することを確認してください。
前提条件
- 使用するサービス (コンプライアンスとマルウェア検出) がシステム上で設定され、実行されている。
手順
システムプロンプトで、
crontab -eコマンドを発行してcrontabファイルを編集します。このコマンドはデフォルトのテキストエディターを開きます。$ crontab -e
実行するサービスの
crontabエントリーを追加します。以下に例を示します。10 20 * * * /bin/insights-client --compliance 10 21 * * * /bin/insights-client --collector malware-detection
この例の最初のコマンドは、コンプライアンスレポートを毎日 20:10 (現地時間) に Insights にアップロードします。2 番目のコマンドは、毎日 21:10 (現地時間) にマルウェア検出レポートを Insights にアップロードします。
- ファイルを保存し、テキストエディターを編集します。
