6.3.2. コンプライアンスポリシーの作成
Satellite 6 では、ホストがセキュリティー要件に準拠するように、コンテンツホストをスキャンするコンプライアンスポリシーを作成できます。
Puppet または Ansible を使用して、ホストにコンプライアンスポリシーをデプロイできます。デフォルトでは Puppet は 30 分ごとに実行される点にご留意ください。新規ポリシーを割り当てる場合には、次の Puppet の実行でホストにポリシーを同期します。ただし、Ansible では、実行をスケジューリングできません。新しいポリシーを追加するには、手動またはリモート実行を使用して、Ansible ロールを実行する必要があります。リモート実行の詳細は、ホストの管理ガイドの リモートジョブの設定とセットアップ を参照してください。
前提条件
開始する前に、Puppet または Ansible のどちらのデプロイメントを使用するかを決定すること。
- Puppet デプロイメントの場合は、監査する各ホストが Puppet 環境に関連付けられていることを確認します。詳細は、「OpenSCAP Puppet モジュールのインポート」 を参照してください。
-
Ansible デプロイメントの場合は、
theforeman.foreman_scap_clientAnsible ロールを必ずインポートしてください。Ansible ロールのインポートに関する詳細は、Satellite で Ansible を使用するための設定の Satellite で Ansible を使い始める を参照してください。
手順
- ホスト > ポリシー に移動して、手動、Ansible または Puppet のいずれかのデプロイメントを選択します。
- ポリシーの名前、説明 (オプション) を入力してから 次へ をクリックします。
適用する SCAP コンテンツおよび XCCDF プロファイルを選択してから 次へ をクリックします。
BZ#1704582 が解決されるまで、
Default XCCDF Profileは空のレポートを返す可能性がある点に注意してください。ポリシーを適用する時間を指定してから 次へ をクリックします。
期間 のリストから、毎週、毎月、または カスタム を選択します。
- 毎週 を選択したら 平日 リストから曜日を選択します。
- 毎月 を選択したら 日付 フィールドで日付を指定します。
カスタム を選択したら Cron 行 フィールドに有効な Cron 式を入力します。
Custom オプションでは、毎週 もしくは 毎月 オプションよりもスケジュールに柔軟性を持たせることができます。
- ポリシーを適用するロケーションを選択してから 次へ をクリックします。
- ポリシーを適用する組織を選択してから 次へ をクリックします。
- ポリシーを適用するホストグループを選択してから 送信 をクリックします。
Puppet エージェントが選択したホストグループに属するホスト、またはポリシーが適用されているホストで実行される場合、OpenSCAP クライアントがインストールされ、Cron ジョブがポリシーの指定されたスケジュールとともに追加されます。SCAP Content タブでは、すべてのターゲットホストのディレクトリー /var/lib/openscap/content/ に配信される SCAP コンテンツの名前を指定します。
