2.3. USGCB (米国政府共通設定基準) 準拠のインストールイメージの作成

Red Hat Enterprise Linux 6 の scap-security-guide パッケージには特別なキックスタートファイルが含まれており、これは United States Government Configuration Baseline (USGCB) に従って強化されたシステムのインストールに使用できます。例えば、政府の規制によってこの基準への準拠が義務付けられた場合などにこれは便利です。
このキックスタート設定は、Red Hat Enterprise Linux 6 のサーバーのバリアントに使用できます。これを使用した場合、インストール後のスクリプトの一部として、OpenSCAP がシステムを自動的に USGCB 準拠に設定します。インストールが完了したら、インストール済みシステムの /root/ ディレクトリーにあるレポートで確認することができます。

注記

scap-security-guide が提供するキックスタートファイルには必要な全コマンドが含まれており、インストールが完全に自動となります。
キックスタートファイルは、インストール中に最新のベンチマークをダウンロードするためにインターネットへのアクセスを必要とすることにも注意してください。
コンプライアンスと OpenSCAP を使用した脆弱性のスキャンに関する詳細情報は、Red Hat Enterprise Linux 6 セキュリティガイド を参照してください。
キックスタートファイルを取得するには、scap-security-guide パッケージを既存の Red Hat Enterprise Linux 6 システムにインストールします。パッケージがインストールされたら、キックスタートファイルは /usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg に配置されます。
このファイルを取得したら、自分のホームディレクトリーにコピーし、プレーンテキストエディターを使って編集します。「キックスタートのオプション」 とファイル内のコメントを参照してください。コメントには Common Configuration Enumeration (CCE) 識別子番号について記述してあるものもあります。これについての情報は、CCE Archive を参照してください。
キックスタートファイルで変更可能な主な点は以下の通りです。
  • パッケージリポジトリーの場所 - url コマンドがこれになります。HTTP または FTP サーバー上にあるパッケージリポジトリーを使用する場合は、デフォルトの IP アドレスをパッケージリポジトリーがあるサーバーのアドレスで置き換えます。このコマンドを nfscdrom、また harddrive のいずれかで置き換えます (それぞれ NFS サーバー、光学ドライブ、ローカルハードディスクの場合)。
  • システムの言語、キーボードレイアウト、タイムゾーン - langkeyboard および timezone コマンドになります。
  • Root パスワード - rootpw コマンドになります。デフォルトでは、このキックスタートで設定される root パスワードは "server" です。新規チェックサムを生成し、変更してください。
  • ブートローダーのパスワード - bootloader --password= コマンドになります。デフォルトのパスワードは "password" です。新規チェックサムを生成し、変更してください。
  • ネットワーク設定 - network コマンドになります。デフォルトでは、DHCP を使用した自動設定が有効になっています。必要に応じて設定を調整してください。
  • パッケージの選択 - ファイルの %packages セクションを編集して、必要なパッケージとグループをインストールします。

    重要

    gitaide および openscap-utils のパッケージは常にインストールする必要があります。これらはキックスタートファイルと インストール後の OpenSCAP のシステム評価で必要になります。
  • ディスクパーティションのレイアウト - partvolgroup および logvol のコマンドになります。
    USGCB 標準は、準拠するシステムの具体的なディスクレイアウト要件を定義します。つまり、/home/tmp/var/var/log、および /var/log/audit といったデフォルトのキックスタートファイルで定義される論理ボリュームは常に別個のパーティションまたは論理ボリュームとして作成する必要があることになります。また Red Hat Enterprise Linux では、/swap 用に /boot 物理パーティションとボリュームを作成する必要もあります。これらはすべてデフォルトのキックスタートで定義されており、別個の論理ボリュームやパーティションを追加したり、デフォルトのサイズを変更したりすることができます。

    注記

    デフォルトでは、/var/log/audit ボリュームのサイズは 512 MB に過ぎません。コールの数が多いことから、このサイズは少なくとも 1024 MB に増やしておくことが強く推奨されます。
キックスタートファイルの残りの部分はそのままで使用できます。ファイルの編集が終わったら、「キックスタート起動用メディアの作成」 に進んでこれを ISO イメージに配置し、新規システムのインストールに使用します。