7.8. インストール直後にセキュリティプロファイルに準拠したシステムを展開する

OpenSCAP スイートを使用すると、インストールプロセスの直後に、OSPPやPCI-DSS などのセキュリティプロファイルに準拠した RHEL システムを展開できます。この展開方法を使用すると、後で修正スクリプトを使用して適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。

7.8.1. グラフィカルインストールを使用したベースライン準拠の RHEL システムの展開

この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、汎用オペレーティングシステム (OSPP) の保護プロファイルを使用します。

前提条件

  • graphical インストールプログラムを起動しました。OSCAP Anaconda Add-on はテキストのみのインストールをサポートしていないことに注意してください。
  • Installation Summary ウィンドウにアクセスしました。

手順

  1. Installation Summary ウィンドウの Software Selection をクリックします。Software Selection ウィンドウが開きます。
  2. ベース環境 ペインから、Server 環境を選択します。ベース環境は 1 つしか選択できません。
  3. Done をクリックして設定を適用し、Installation Summary ウィンドウに戻ります。
  4. Security Policy をクリックします。Secuirty Policy ウィンドウが開きます。
  5. システムでセキュリティポリシーを有効にするには、Apply security policy スイッチを ON に切り替えます。
  6. プロファイルペインから Protection Profile for General Purpose Operating Systems を選択します。
  7. Select Profile をクリックして、選択を確認します。
  8. ウィンドウの下部に表示される Changes that were done or need to be done ペインで変更を確認します。残りの手動変更を完了します。
  9. OSPP には満たす必要のある厳密なパーティション分割要件があるため、/boot/home/var/var/log/var/tmp/var/log/audit 用のパーティションを別に作成します。
  10. グラフィカルインストールプロセスを完了します。

    注記

    グラフィカルインストールプログラムは、インストールが正常に完了すると、対応するキックスタートファイルを自動的に作成します。/root/anaconda-ks.cfg ファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。

検証

  1. インストールの完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
    ~]# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

関連情報

7.8.2. キックスタートを使用したベースライン準拠の RHEL システムのデプロイ

この手順を使用して、特定のベースラインに合わせた RHEL システムを展開します。この例では、汎用オペレーティングシステム (OSPP) の保護プロファイルを使用します。

前提条件

  • scap-security-guide パッケージはシステムにインストールされています。

手順

  1. 任意のエディターで /usr/share/scap-security-guide/kickstart/ssg-rhel7-ospp-ks.cfg キックスタートファイルを開きます。
  2. 設定要件に合うようにパーティション分割スキームを更新します。OSPP に準拠させるには、/boot/home/var/var/log/var/tmp、および /var/log/audit は保持する必要がありますが、これらのパーティションのサイズは変更できます。

    警告

    OSCAP Anaconda Add-on はテキストのみのインストールをサポートしていないため、キックスタートファイルで text オプションを使用しないでください。詳細は、RHBZ#1674001 を参照してください。
  3. Performing an automated installation using Kickstart で説明している Kickstart インストールを開始します。

重要

ハッシュ形式のパスワードは、OSPP 要件をチェックできません。

検証

  1. インストールの完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
    ~]# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。