Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

2.3. USGCB 準拠のインストールイメージの作成

Red Hat Enterprise Linux 6 の scap-security-guide パッケージには、専用のキックスタートファイルが含まれており、米国政府共通設定基準(USGCB ) 標準に準拠する強化されたシステムをインストールするために使用できます。これは、この標準への準拠が政府の規制で要求される場合に便利です。
このキックスタート設定は、Red Hat Enterprise Linux 6 の Server バリアントで使用できます。これを使用すると、インストール後のスクリプトの一部として USGCB プロファイルに準拠するように OpenSCAP によりシステムが自動的に設定されます。インストールが完了したら、インストール済みシステムの /root/ ディレクトリーに置かれたレポートを確認できます。
注記
scap-security-guide が提供するキックスタートファイルには、必要なすべてのコマンドが含まれており、インストールは完全に自動的に行われます。
また、最新のベンチマークをダウンロードするには、インストール中にキックスタートファイルがインターネットにアクセスする必要があることに注意してください。
OpenSCAP を使用したコンプライアンスおよび脆弱性スキャンの詳細は、Red Hat Enterprise Linux 6 セキュリティーガイド の該当する章を参照してください。
キックスタートファイルを取得するには、既存の Red Hat Enterprise Linux 6 システムに scap-security-guide パッケージをインストールします。パッケージがインストールされたら、キックスタートファイル /usr/share/scap-security-guide/kickstart/ssg-rhel6-usgcb-server-with-gui-ks.cfg にあります。
ファイルを取得したら、ホームディレクトリーにコピーし、プレーンテキストエディターで編集します。参考までに、ファイルの 「キックスタートのオプション」 およびコメントを使用します。コメントには Common Configuration Enumeration (CCE)識別子番号が示されています。これらの情報は CCE Archive で見つけることができます。
変更可能なキックスタートファイルの注目すべき部分は以下のとおりです。
  • パッケージリポジトリーの場所 - url コマンドHTTP または FTP サーバーでパッケージリポジトリーを使用するには、デフォルトの IP アドレスを、パッケージリポジトリーを含むサーバーのアドレスに置き換えます。このコマンドを、それぞれ NFS サーバー、光学ドライブ、またはローカルハードドライブからインストールする nfscdrom、または harddrive のいずれかに置き換えます。
  • システム言語、キーボードのレイアウト、タイムゾーン: lang コマンド、キーボード、および タイムゾーン コマンド。
  • root パスワード - rootpw コマンドデフォルトでは、このキックスタートで設定した root パスワードは server です。必ず新しいチェックサムを生成して変更してください。
  • ブートローダーのパスワード - ブートローダー --password= コマンドデフォルトのパスワードは password です。必ず新しいチェックサムを生成して変更してください。
  • ネットワーク設定 - network コマンドDHCP を使用した自動設定はデフォルトで有効になっています。必要に応じて設定を調整します。
  • パッケージの選択:ファイルの %packages セクションを変更して、必要なパッケージおよびグループをインストールします。
    重要
    パッケージ gitaide、および openscap-utils を常にインストールする必要があります。これらは、キックスタートファイルおよびインストール後の OpenSCAP システム評価が機能するために必要です。
  • ディスクパーティションレイアウト: part コマンド、volgroup コマンド、および logvol コマンド。
    USGCB 標準は、準拠システムのディスクレイアウトの具体的な要件を定義します。つまり、デフォルトのキックスタートファイル( /home/tmp/var/log、および /var/ log/audit )で定義された論理ボリュームは、常に別のパーティションまたは論理ボリュームとして作成する必要があります。また、Red Hat Enterprise Linux では、/ および swap/boot 物理パーティションとボリュームを作成する必要があります。これらはすべてデフォルトのキックスタートで定義されているので、別の論理ボリュームまたはパーティションを追加して、デフォルトのサイズを変更できます。
    注記
    デフォルトでは、/var/log/audit ボリュームは 512 MB の領域のみを使用します。大量の呼び出しが監査されるため、そのサイズを 1024 MB 以上に増やすことを強く推奨します。
残りのキックスタートファイルはそのまま使用できます。ファイルの変更が完了したら、「キックスタートブートメディアの作成」 に進んで ISO イメージに配置し、それを使用して新しいシステムをインストールします。