Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
8.8. インストール直後にセキュリティープロファイルが設定されているシステムのデプロイメント
OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS などのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用すると、修正スクリプトを使用して後で適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。
8.8.1. グラフィカルインストールを使用した Baseline-Compliant RHEL システムのデプロイメント
この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。
前提条件
グラフィカルインストールプログラムでシステムを起動している。OSCAP Anaconda Add-on はテキストのみのインストールをサポートしていないことに注意してください。インストール概要画面を開いている。
手順
インストール概要画面で、ソフトウェアの選択をクリックします。ソフトウェアの選択画面が開きます。ベース環境ペインで、サーバー環境を選択します。ベース環境は、1 つだけ選択できます。完了をクリックして設定を適用し、インストール概要画面に戻ります。セキュリティーポリシーをクリックします。セキュリティーポリシー画面が開きます。- システムでセキュリティーポリシーを有効にするには、
セキュリティーポリシーの適用をONに切り替えます。 - プロファイルペインで
Protection Profile for General Purpose Operating Systemsプロファイルを選択します。 プロファイルの選択をクリックして選択を確定します。- 画面下部に表示される
Protection Profile for General Purpose Operating Systemsの変更を確定します。残りの手動変更を完了します。 - OSPP には、準拠する必要がある厳密なパーティション分割要件があるため、
/boot、/home、/var、/var/log、/var/tmp、および/var/log/auditにそれぞれパーティションを作成します。 - グラフィカルインストールプロセスを完了します。注記グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。
/root/anaconda-ks.cfgファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。
検証
- インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。
~]#oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel7-ds.xml
このページには機械翻訳が使用されている場合があります (詳細はこちら)。