Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3. USGCB 準拠のインストールイメージの作成

Red Hat Enterprise Linux 6 の scap-security-guide パッケージには、特殊なキックスタートファイルが含まれています。このファイルは、米国政府の設定ベースライン (USGCB) 標準に準拠する強化されたシステムをインストールするために使用できます。これは、この規格への準拠が政府の規制で必要な場合に役立ちます。
このキックスタート設定は、Red Hat Enterprise Linux 6 の Server バリアントで使用できます。これを使用すると、OpenSCAP が、インストール後のスクリプトの一部として USGCB プロファイルに準拠するように、システムを自動的に設定します。インストールが完了したら、インストール済みシステムの /root/ ディレクトリーにあるレポートを確認できます。
注記
scap-security-guide のキックスタートファイルには必要なコマンドがすべて含まれ、インストールが完全に自動化されます。
最新のベンチマークをダウンロードするには、キックスタートファイルにはインストール時にインターネットへのアクセスが必要であることに注意してください。
OpenSCAP を使用したコンプライアンスおよび脆弱性スキャンの詳細は、『 Red Hat Enterprise Linux 6 セキュリティーガイド』 の該当する章を参照してください。
キックスタートファイルを取得するには、既存の Red Hat Enterprise Linux 6 システムに scap-security-guide パッケージをインストールします。このパッケージがインストールされたら、キックスタートファイルを /usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg で確認できます。
ファイルを取得したら、ホームディレクトリーにコピーして、プレーンテキストエディターを使用して編集します。参照には、「キックスタートオプション」 およびファイルのコメントを使用します。コメントの一部は、Common Configuration Enumeration (CCE)識別子番号を示しており、これらに関する情報は CCE アーカイブにあります
変更可能なキックスタートファイルの主な部分は以下のとおりです。
  • Package repository location: url コマンドHTTP または FTP サーバーでパッケージリポジトリーを使用するには、デフォルトの IP アドレスを、パッケージリポジトリーを含むサーバーのアドレスに置き換えます。このコマンドは、NFS サーバー、光学ドライブ、またはローカルのハードドライブからインストールする nfscdrom、または harddrive のいずれかに置き換えます。
  • システム言語、キーボードレイアウト、タイムゾーン - langキーボードタイムゾーン コマンド。
  • Root パスワード: rootpw コマンド。デフォルトでは、このキックスタートで設定した root パスワードは「サーバー」です。新しいチェックサムを生成して変更してください。
  • ブートローダーのパスワード - bootloader --password= コマンドデフォルトのパスワードは「password」です。新しいチェックサムを生成して変更してください。
  • ネットワーク設定: network コマンドDHCP を使用した自動設定はデフォルトで有効になっています。必要に応じて設定を調整します。
  • パッケージの選択 - ファイルの %packages セクションを変更して、必要なパッケージおよびグループをインストールします。
    重要
    gitaide、および openscap-utils パッケージを常にインストールする必要があります。これは、キックスタートファイルおよびインストール後の OpenSCAP システム評価が機能するために必要です。
  • ディスクパーティションレイアウト: 部分volgroup コマンド、および logvol コマンド。
    USGCB 標準は、準拠したシステムのディスクレイアウトの具体的な要件を定義します。これは、デフォルトのキックスタートファイル( /home/tmp/var、、/var/log、および /var/log/audit )で定義された論理ボリュームであることを意味します。常に別のパーティションまたは論理ボリュームとして作成する必要があります。また、Red Hat Enterprise Linux では、/ および swap 用に /boot 物理パーティションとボリュームを作成する必要があります。これらはすべてデフォルトのキックスタートで定義されます。別の論理ボリュームまたはパーティションを追加して、デフォルトのボリュームのサイズを変更できます。
    注記
    デフォルトでは、/var/log/audit ボリュームは 512 MB の領域のみを使用します。監査されている呼び出しの数が多いため、サイズを 1024 MB 以上に増やすことが強く推奨されます。
残りのキックスタートファイルは、そのまま使用できます。ファイルの変更が完了したら、「キックスタートブートメディアの作成」 を続行して ISO イメージに配置し、それを使用して新規システムをインストールします。