Show Table of Contents
2.3. USGCB (米国政府共通設定基準) 準拠のインストールイメージの作成
Red Hat Enterprise Linux 6 の scap-security-guide パッケージには特別なキックスタートファイルが含まれており、これは United States Government Configuration Baseline (USGCB) に従って強化されたシステムのインストールに使用できます。例えば、政府の規制によってこの基準への準拠が義務付けられた場合などにこれは便利です。
このキックスタート設定は、Red Hat Enterprise Linux 6 のサーバーのバリアントに使用できます。これを使用した場合、インストール後のスクリプトの一部として、OpenSCAP がシステムを自動的に USGCB 準拠に設定します。インストールが完了したら、インストール済みシステムの
/root/ ディレクトリーにあるレポートで確認することができます。
注記
scap-security-guide が提供するキックスタートファイルには必要な全コマンドが含まれており、インストールが完全に自動となります。
キックスタートファイルは、インストール中に最新のベンチマークをダウンロードするためにインターネットへのアクセスを必要とすることにも注意してください。
コンプライアンスと OpenSCAP を使用した脆弱性のスキャンに関する詳細情報は、Red Hat Enterprise Linux 6 セキュリティガイド を参照してください。
キックスタートファイルを取得するには、scap-security-guide パッケージを既存の Red Hat Enterprise Linux 6 システムにインストールします。パッケージがインストールされたら、キックスタートファイルは
/usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg に配置されます。
このファイルを取得したら、自分のホームディレクトリーにコピーし、プレーンテキストエディターを使って編集します。「キックスタートのオプション」 とファイル内のコメントを参照してください。コメントには Common Configuration Enumeration (CCE) 識別子番号について記述してあるものもあります。これについての情報は、CCE Archive を参照してください。
キックスタートファイルで変更可能な主な点は以下の通りです。
- パッケージリポジトリーの場所 -
urlコマンドがこれになります。HTTP または FTP サーバー上にあるパッケージリポジトリーを使用する場合は、デフォルトの IP アドレスをパッケージリポジトリーがあるサーバーのアドレスで置き換えます。このコマンドをnfs、cdrom、またharddriveのいずれかで置き換えます (それぞれ NFS サーバー、光学ドライブ、ローカルハードディスクの場合)。 - システムの言語、キーボードレイアウト、タイムゾーン -
lang、keyboardおよびtimezoneコマンドになります。 - Root パスワード -
rootpwコマンドになります。デフォルトでは、このキックスタートで設定される root パスワードは "server" です。新規チェックサムを生成し、変更してください。 - ブートローダーのパスワード -
bootloader --password=コマンドになります。デフォルトのパスワードは "password" です。新規チェックサムを生成し、変更してください。 - ネットワーク設定 -
networkコマンドになります。デフォルトでは、DHCP を使用した自動設定が有効になっています。必要に応じて設定を調整してください。 - パッケージの選択 - ファイルの
%packagesセクションを編集して、必要なパッケージとグループをインストールします。重要
git、aide および openscap-utils のパッケージは常にインストールする必要があります。これらはキックスタートファイルと インストール後の OpenSCAP のシステム評価で必要になります。 - ディスクパーティションのレイアウト -
part、volgroupおよびlogvolのコマンドになります。USGCB 標準は、準拠するシステムの具体的なディスクレイアウト要件を定義します。つまり、/home、/tmp、/var、/var/log、および/var/log/auditといったデフォルトのキックスタートファイルで定義される論理ボリュームは常に別個のパーティションまたは論理ボリュームとして作成する必要があることになります。また Red Hat Enterprise Linux では、/とswap用に/boot物理パーティションとボリュームを作成する必要もあります。これらはすべてデフォルトのキックスタートで定義されており、別個の論理ボリュームやパーティションを追加したり、デフォルトのサイズを変更したりすることができます。注記
デフォルトでは、/var/log/auditボリュームのサイズは 512 MB に過ぎません。コールの数が多いことから、このサイズは少なくとも 1024 MB に増やしておくことが強く推奨されます。
キックスタートファイルの残りの部分はそのままで使用できます。ファイルの編集が終わったら、「キックスタート起動用メディアの作成」 に進んでこれを ISO イメージに配置し、新規システムのインストールに使用します。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.