6.11. インストール後にセキュリティープロファイルに準拠するシステムのデプロイメント

管理者は、OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS などのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用した場合、管理者は、後で修正スクリプトを使用して適用することはできないパスワード強度のルールなどの特定ルールを適用できます。

6.11.1. グラフィカルインストールを使用した OSPP 準拠の RHEL システムのデプロイメント

OSPP (Protection Profile for General Purpose Operating System) に合わせて調整された RHEL システムをデプロイする場合は、この手順を使用します。

前提条件

  • グラフィカルインストールプログラムでシステムを起動している。
  • インストール概要 画面を開いている。

手順

  1. インストール概要 画面で、ソフトウェアの選択 をクリックします。ソフトウェアの選択 画面が開きます。
  2. ベース環境 ペインで、サーバー 環境を選択します。ベース環境は、1 つだけ選択できます。

    警告

    GUI を使用するサーバー は、デフォルトのベース環境です。GUI を使用するサーバー オプションでインストールした GNOME パッケージには nfs-utils パッケージが必要で、このパッケージは OSPP に準拠していません。デフォルトのベース環境を Server に変更しないで OSPP を選択すると、インストールプロセスが停止します。

  3. 完了 をクリックして設定を適用し、インストール概要 画面に戻ります。
  4. セキュリティーポリシー をクリックします。セキュリティーポリシー 画面が開きます。
  5. システムでセキュリティーポリシーを有効にするには、セキュリティーポリシーの適用ON に切り替えます。
  6. プロファイルペインで Protection Profile for General Purpose Operating Systems プロファイルを選択します。
  7. プロファイルの選択 をクリックして選択を確定します。
  8. 画面下部に表示される Protection Profile for General Purpose Operating Systems の変更を確定します。残りの手動変更を完了します。
  9. OSPP には、準拠する必要がある厳密なパーティション分割要件があるため、/boot/home/var/var/log/var/tmp、および /var/log/audit にそれぞれパーティションを作成します。
  10. グラフィカルインストールプロセスを完了します。

    注記

    グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。/root/anaconda-ks.cfg ファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。

検証手順

  1. 強化プロセスのレポートは、/root/openscap_data/eval_remediate_report.html ファイルにあります。oscapchroot 環境でレポートを作成するため、誤検出も含まれます。たとえばサービス関連のルールはすべてエラーとして示されます。
  2. システムの現在のステータスを正確に確認するには、インストール完了後に再起動してスキャンします。

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

関連情報

6.11.2. キックスタートを使用した OSPP 準拠の RHEL システムのデプロイメント

この手順を使用して、OSPP (Protection Profile for General Purpose Operating System) に合わせて調整された RHEL システムをデプロイします。

前提条件

  • RHEL 8 システムに、scap-security-guide パッケージがインストールされている。

手順

  1. キックスタートファイル /usr/share/scap-security-guide/kickstarts/ssg-rhel8-ospp-ks.cfg を、選択したエディターで開きます。
  2. 設定要件を満たすように、パーティション設定スキームを更新します。OSPP コンプライアンスでは、/boot/home/var/var/log/var/tmp、および /var/log/audit にそれぞれ設定したパーティションを維持して、パーティションのサイズのみを変更できます。

    警告

    OSCAP Anaconda Addon プラグインはテキストのみのインストールには対応していないため、キックスタートファイルの text オプションは使用しないでください。詳細は RHBZ#1674001 を参照してください。

  3. キックスタートインストールを開始する方法は、「キックスタートインストールの開始」を参照してください。
重要

OSPP 要件では、ハッシュ形式のパスワードは確認できません。

検証手順

  1. 強化プロセスのレポートは、/root/openscap_data/eval_remediate_report.html ファイルにあります。oscapchroot 環境でレポートを作成するため、誤検出も含まれます。たとえばサービス関連のルールはすべてエラーとして示されます。
  2. システムの現在のステータスを正確に確認するには、インストール完了後に再起動してスキャンします。

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml

関連情報