第24章 完全なディスクイメージの作成
メインのオーバークラウドイメージは、パーティション情報またはブートローダーが含まれないフラットパーティションイメージです。director は、ノードをブートする時には別のカーネルおよび ramdisk を使用し、オーバークラウドイメージをディスクに書き込む時に基本的なパーティションレイアウトを作成します。ただし、パーティションレイアウト、ブートローダー、および強化されたセキュリティー機能が含まれる完全なディスクイメージを作成することができます。
以下のプロセスでは、director のイメージビルド機能を使用します。Red Hat では、本項に記載の指針に従うイメージのみをサポートしています。これらとは異なる仕様でビルドされたカスタムイメージはサポートされていません。
24.1. セキュリティー強化手段
完全なディスクイメージには、セキュリティーが重要な機能となる Red Hat OpenStack Platform のデプロイメントに必要な、追加のセキュリティー強化手段が含まれます。
イメージを作成する際のセキュリティーに関する推奨事項
-
/tmp
ディレクトリーを別のボリュームまたはパーティションにマウントし、rw
、nosuid
、nodev
、noexec
、およびrelatime
のフラグを付ける。 -
/var
、/var/log
、および/var/log/audit
ディレクトリーを別のボリュームまたはパーティションにマウントし、rw
およびrelatime
のフラグを付ける。 -
/home
ディレクトリーを別のパーティションまたはボリュームにマウントし、rw
、nodev
、およびrelatime
のフラグを付ける。 GRUB_CMDLINE_LINUX
の設定に以下の変更を加える。-
監査を有効にするには、
audit=1
カーネルブートフラグを追加します。 -
ブートローダー設定を使用した USB のカーネルサポートを無効にするには、
nousb
を追加します -
セキュアでないブートフラグを削除するには、
crashkernel=auto
を削除します。
-
監査を有効にするには、
-
セキュアでないモジュール (
usb-storage
、cramfs
、freevxfs
、jffs2
、hfs
、hfsplus
、squashfs
、udf
、vfat
) をブラックリストに登録して、読み込まれないようにする。 -
telnet
などの安全でないパッケージはデフォルトでインストールされているため、イメージから削除します。