セキュリティー対策のテストは cloud/security (クラウド/セキュリティー) としても知られ、イメージが最小限の標準セキュリティー対策に従っていることを確認します。また、最新の Red Hat セキュリティー更新がインストールされていることを確認します (ただし現時点でこの確認は不要です)。

cloud/configuration (クラウド/設定) テストには以下のサブテストが含まれます。

ユーザーパスワード設定に RHEL 6 および 7 用の証明書または SHA-512 が使用されていることを確認します。これにより、イメージがセキュリティーの最適化のために標準の暗号/暗号解除メカニズムに基づいていることを確認できます。

イメージに含まれる Red Hat パッケージに対してリリースされるすべての重要および重大なセキュリティーエラータがインストールされていることを確認します。Red Hat はパートナーの皆様に対し、エラータのリリース時にはいつでもイメージの更新および再認定を実行することを奨励します。このテストは、Red Hat による合格または不合格の確認レビューが必要となるため、ランタイム時にステータス (REVIEW) を表示します。Red Hat におけるセキュリティーレベルについての詳細は、https://access.redhat.com/ja/security/updates/classification を参照してください。

SELinux がイメージ上で enforcing モード (推奨) または permissive モードで実行されていることを確認します。SELinux (Security-Enhanced Linux) は MAC (Mandatory Access Control) を Linux カーネルに追加し、Red Hat Enterprise Linux にてデフォルトで有効にされます。

SELinux ポリシーは管理者が定義し、システム全体にわたって強制されるもので、ユーザーの判断で設定されるものではありません。これにより、権限昇格攻撃の脆弱性が軽減し、設定上のミスによる損害が制限されます。あるプロセスが危険にさらされても、攻撃者がアクセスできるのはそのプロセスの通常の機能とそのプロセスが設定上アクセスできるファイルのみになります。

RHEL の SELinux についての詳細は、以下を参照してください。