Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

8.8. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント

OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS などのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用すると、修正スクリプトを使用して後で適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。

8.8.1. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント

この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。

前提条件

  • グラフィカル インストールプログラムで起動している。OSCAP Anaconda Add-on はテキストのみのインストールをサポートしていないことに注意してください。
  • インストール概要 画面にアクセスしている。

手順

  1. インストール概要 画面 から、ソフトウェアの選択 を クリックしますソフトウェアの選択 画面 が開きます。
  2. ベース環境 ペインから、サーバー 環境を選択 ます。ベース環境は、1 つだけ選択できます。
  3. 完了 をクリックし て設定を適用し、インストール概要 画面 に戻ります。
  4. Security Policy をクリックします。セキュリティーポリシー 画面が 開きます。
  5. システムでセキュリティーポリシーを有効にするには、セキュリティーポリシーの適用ON に切り替えます。
  6. プロファイルペインから Protection Profile for General Purpose Operating Systems を選択します。
  7. プロファイルの選択 をクリックして選択を確定します。
  8. ウィンドウの下部に表示される変更 または完了 ペインの変更を確認します。残りの手動変更を完了します。
  9. OSPP には厳密なパーティション要件があるため、/boot/home、/var、/var/log、/var /tmp、および/var/ log /audit 用に個別のパーティションを作成します。
  10. グラフィカルインストールプロセスを完了します。
    注記
    グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。/root/anaconda-ks.cfg ファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。

検証

  1. インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
    ~]# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

関連情報

8.8.2. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント

この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。

前提条件

  • システムに、scap-security-guide パッケージがインストールされている。

手順

  1. キックスタートファイル /usr/share/scap-security-guide/kickstart/ssg-rhel7-ospp-ks.cfg を、選択したエディターで開きます。
  2. 設定要件を満たすように、パーティション設定スキームを更新します。OSPP に準拠するには、/boot/home、/var、/var /log、/var/tmp、および/var/ log /audit 用の個別のパーティションを保持する必要があります。ただし、これらのパーティションのサイズは変更できます。
    警告
    OSCAP Anaconda Add-on はテキストのみのインストールをサポートしていないため、キックスタートファイルの text オプションを使用しないでください。詳細は RHBZ#1674001 を参照してください。
  3. キックスタートインストールを開始する方法は、キックスタートインストールの開始を参照してください。
重要
OSPP 要件では、ハッシュ形式のパスワードは確認できません。

検証

  1. インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
    ~]# oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml

関連情報