Jump To Close Expand all Collapse all Table of contents セキュリティーの強化 多様性を受け入れるオープンソースの強化 Red Hat ドキュメントへのフィードバック (英語のみ) 1. インストール時の RHEL の保護 Expand section "1. インストール時の RHEL の保護" Collapse section "1. インストール時の RHEL の保護" 1.1. BIOS および UEFI のセキュリティー Expand section "1.1. BIOS および UEFI のセキュリティー" Collapse section "1.1. BIOS および UEFI のセキュリティー" 1.1.1. BIOS パスワード 1.1.2. 非 BIOS ベースシステムのセキュリティー 1.2. ディスクのパーティション設定 1.3. インストールプロセス時のネットワーク接続の制限 1.4. 必要なパッケージの最小限のインストール 1.5. インストール後の手順 2. FIPS モードでのシステムのインストール Expand section "2. FIPS モードでのシステムのインストール" Collapse section "2. FIPS モードでのシステムのインストール" 2.1. FIPS (Federal Information Processing Standard) 2.2. FIPS モードが有効なシステムのインストール 2.3. 関連情報 3. システム全体の暗号化ポリシーの使用 Expand section "3. システム全体の暗号化ポリシーの使用" Collapse section "3. システム全体の暗号化ポリシーの使用" 3.1. システム全体の暗号化ポリシー 3.2. システム全体の暗号化ポリシーを、以前のリリースと互換性のあるモードに切り替え 3.3. Web コンソールでシステム全体の暗号化ポリシーを設定する 3.4. FIPS モードへのシステムの切り替え 3.5. コンテナーでの FIPS モードの有効化 3.6. FIPS 140-3 に準拠していない暗号化を使用している RHEL アプリケーションのリスト 3.7. システム全体の暗号化ポリシーに従わないようにアプリケーションを除外 Expand section "3.7. システム全体の暗号化ポリシーに従わないようにアプリケーションを除外" Collapse section "3.7. システム全体の暗号化ポリシーに従わないようにアプリケーションを除外" 3.7.1. システム全体の暗号化ポリシーを除外する例 3.8. サブポリシーを使用したシステム全体の暗号化ポリシーのカスタマイズ 3.9. SHA-1 を再度有効に 3.10. システム全体のカスタム暗号化ポリシーの作成および設定 4. crypto-policies RHEL システムロールを使用したカスタム暗号化ポリシーの設定 Expand section "4. crypto-policies RHEL システムロールを使用したカスタム暗号化ポリシーの設定" Collapse section "4. crypto-policies RHEL システムロールを使用したカスタム暗号化ポリシーの設定" 4.1. crypto_policies システムロール変数およびファクト 4.2. crypto_policies システムロールを使用したカスタム暗号化ポリシーの設定 4.3. 関連情報 5. PKCS #11 で暗号化ハードウェアを使用するようにアプリケーションを設定 Expand section "5. PKCS #11 で暗号化ハードウェアを使用するようにアプリケーションを設定" Collapse section "5. PKCS #11 で暗号化ハードウェアを使用するようにアプリケーションを設定" 5.1. PKCS #11 による暗号化ハードウェアへの対応 5.2. スマートカードに保存された SSH 鍵の使用 5.3. スマートカードから証明書を使用して認証するアプリケーションの設定 5.4. Apache で秘密鍵を保護する HSM の使用 5.5. Nginx で秘密鍵を保護する HSM の使用 5.6. 関連情報 6. polkit を使用したスマートカードへのアクセスの制御 Expand section "6. polkit を使用したスマートカードへのアクセスの制御" Collapse section "6. polkit を使用したスマートカードへのアクセスの制御" 6.1. polkit を介したスマートカードアクセス制御 6.2. PC/SC および polkit に関連する問題のトラブルシューティング 6.3. PC/SC への polkit 認証の詳細情報の表示 6.4. 関連情報 7. 設定コンプライアンスおよび脆弱性スキャンの開始 Expand section "7. 設定コンプライアンスおよび脆弱性スキャンの開始" Collapse section "7. 設定コンプライアンスおよび脆弱性スキャンの開始" 7.1. RHEL における設定コンプライアンスツール 7.2. 脆弱性スキャン Expand section "7.2. 脆弱性スキャン" Collapse section "7.2. 脆弱性スキャン" 7.2.1. Red Hat Security Advisories OVAL フィード 7.2.2. システムの脆弱性のスキャン 7.2.3. リモートシステムの脆弱性のスキャン 7.3. 設定コンプライアンススキャン Expand section "7.3. 設定コンプライアンススキャン" Collapse section "7.3. 設定コンプライアンススキャン" 7.3.1. RHEL の設定コンプライアンス 7.3.2. OpenSCAP スキャン結果の例 7.3.3. 設定コンプライアンスのプロファイルの表示 7.3.4. 特定のベースラインによる設定コンプライアンスの評価 7.4. 特定のベースラインに合わせたシステムの修復 7.5. SSG Ansible Playbook を使用して、特定のベースラインに合わせてシステムを修正する 7.6. システムを特定のベースラインに合わせるための修復用 Ansible Playbook の作成 7.7. 後でアプリケーションを修復するための Bash スクリプトの作成 7.8. SCAP Workbench を使用したカスタムプロファイルでシステムのスキャン Expand section "7.8. SCAP Workbench を使用したカスタムプロファイルでシステムのスキャン" Collapse section "7.8. SCAP Workbench を使用したカスタムプロファイルでシステムのスキャン" 7.8.1. SCAP Workbench を使用したシステムのスキャンおよび修復 7.8.2. SCAP Workbench を使用したセキュリティープロファイルのカスタマイズ 7.8.3. 関連情報 7.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント Expand section "7.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント" Collapse section "7.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント" 7.9.1. GUI を備えたサーバーと互換性のないプロファイル 7.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント 7.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント 7.10. コンテナーおよびコンテナーイメージの脆弱性スキャン 7.11. 特定のベースラインを使用したコンテナーまたはコンテナーイメージのセキュリティーコンプライアンスの評価 7.12. RHEL 9 で対応する SCAP セキュリティーガイドプロファイル 7.13. 関連情報 8. Keylime でシステムの整合性を確保する Expand section "8. Keylime でシステムの整合性を確保する" Collapse section "8. Keylime でシステムの整合性を確保する" 8.1. Keylime の仕組み 8.2. Keylim verifier と registrar の設定 8.3. 測定されたブート設定証明のための Keylime のデプロイ 8.4. ランタイム監視のための Keylime のデプロイ 9. AIDE で整合性の確認 Expand section "9. AIDE で整合性の確認" Collapse section "9. AIDE で整合性の確認" 9.1. AIDE のインストール 9.2. AIDE を使用した整合性チェックの実行 9.3. AIDE データベースの更新 9.4. ファイル整合性ツール:AIDE および IMA 9.5. 関連情報 10. LUKS を使用したブロックデバイスの暗号化 Expand section "10. LUKS を使用したブロックデバイスの暗号化" Collapse section "10. LUKS を使用したブロックデバイスの暗号化" 10.1. LUKS ディスクの暗号化 10.2. RHEL の LUKS バージョン 10.3. LUKS2 再暗号化中のデータ保護のオプション 10.4. LUKS2 を使用したブロックデバイスの既存データの暗号化 10.5. 独立したヘッダーがある LUKS2 を使用してブロックデバイスの既存データの暗号化 10.6. LUKS2 を使用した空のブロックデバイスの暗号化 10.7. storage RHEL System Role を使用して LUKS 暗号化ボリュームを作成する 11. ポリシーベースの複号を使用して暗号化ボリュームの自動アンロックの設定 Expand section "11. ポリシーベースの複号を使用して暗号化ボリュームの自動アンロックの設定" Collapse section "11. ポリシーベースの複号を使用して暗号化ボリュームの自動アンロックの設定" 11.1. NBDE (Network-Bound Disk Encryption) 11.2. 暗号化クライアント (Clevis) のインストール 11.3. SELinux を Enforcing モードで有効にした Tang サーバーのデプロイメント 11.4. Tang サーバーの鍵のローテーションおよびクライアントでのバインディングの更新 11.5. Web コンソールで Tang 鍵を使用した自動アンロックの設定 11.6. 基本的な NBDE および TPM2 暗号化クライアント操作 11.7. LUKS で暗号化したボリュームの手動登録の設定 11.8. TPM2.0 ポリシーを使用した LUKS で暗号化したボリュームの手動登録の設定 11.9. LUKS で暗号化したボリュームからの Clevis ピンの手動削除 11.10. キックスタートを使用して、LUKS で暗号化したボリュームの自動登録の設定 11.11. LUKS で暗号化されたリムーバブルストレージデバイスの自動アンロックの設定 11.12. 高可用性 NBDE システムのデプロイメント Expand section "11.12. 高可用性 NBDE システムのデプロイメント" Collapse section "11.12. 高可用性 NBDE システムのデプロイメント" 11.12.1. シャミアの秘密分散を使用した高可用性 NBDE Expand section "11.12.1. シャミアの秘密分散を使用した高可用性 NBDE" Collapse section "11.12.1. シャミアの秘密分散を使用した高可用性 NBDE" 11.12.1.1. 例 1:2 台の Tang サーバーを使用した冗長性 11.12.1.2. 例 2:Tang サーバーと TPM デバイスで共有している秘密 11.13. NBDE ネットワークで仮想マシンのデプロイメント 11.14. NBDE を使用してクラウド環境に自動的に登録可能な仮想マシンイメージの構築 11.15. コンテナーとしての Tang のデプロイ 11.16. nbde_client および nbde_server システムロールの概要 (Clevis および Tang) 11.17. 複数の Tang サーバーをセットアップするための nbde_server システムロールの使用 11.18. 複数の Clevis クライアントの設定に nbde_client システムロールを使用 12. システムの監査 Expand section "12. システムの監査" Collapse section "12. システムの監査" 12.1. Linux の Audit 12.2. Audit システムのアーキテクチャー 12.3. 環境を保護するための auditd の設定 12.4. auditd の開始および制御 12.5. Audit ログファイルについて 12.6. auditctl で Audit ルールを定義および実行 12.7. 永続的な Audit ルールの定義 12.8. 事前に設定されたルールファイルの使用 12.9. 永続ルールを定義する augenrules の使用 12.10. augenrules の無効化 12.11. ソフトウェアの更新を監視するための Audit の設定 12.12. Audit によるユーザーログイン時刻の監視 12.13. 関連情報 13. fapolicyd を使用したアプリケーションの拒否および許可 Expand section "13. fapolicyd を使用したアプリケーションの拒否および許可" Collapse section "13. fapolicyd を使用したアプリケーションの拒否および許可" 13.1. fapolicyd の概要 13.2. fapolicyd のデプロイ 13.3. 信頼ソースを使用して、ファイルを信頼できるとマークします。 13.4. fapolicyd のカスタムの許可および拒否ルールの追加 13.5. fapolicyd 整合性チェックの有効化 13.6. fapolicyd に関連する問題のトラブルシューティング 13.7. 関連情報 14. 侵入型 USB デバイスに対するシステムの保護 Expand section "14. 侵入型 USB デバイスに対するシステムの保護" Collapse section "14. 侵入型 USB デバイスに対するシステムの保護" 14.1. USBGuard 14.2. USBGuard のインストール 14.3. CLI で USB デバイスのブロックおよび認証 14.4. USB デバイスの永続的なブロックおよび認証 14.5. USB デバイス用のカスタムポリシーの作成 14.6. USB デバイス用に構造化されたカスタムポリシーの作成 14.7. USBGuard IPC インターフェイスを使用するユーザーおよびグループの認証 14.8. Linux 監査ログへの USBguard 認証イベントの記録 14.9. 関連情報 15. リモートロギングソリューションの設定 Expand section "15. リモートロギングソリューションの設定" Collapse section "15. リモートロギングソリューションの設定" 15.1. Rsyslog ロギングサービス 15.2. Rsyslog ドキュメントのインストール 15.3. TCP でのリモートロギング用のサーバーの設定 15.4. TCP 経由のサーバーへのリモートロギングの設定 15.5. TLS 暗号化リモートロギングの設定 15.6. UDP でリモートロギング情報を受信するためのサーバー設定 15.7. UDP 経由のサーバーへのリモートロギングの設定 15.8. rsyslog の負荷分散ヘルパー 15.9. 信頼できるリモートロギングの設定 15.10. サポート対象の Rsyslog モジュール 15.11. カーネルメッセージをリモートホストに記録するように netconsole サービスを設定 15.12. 関連情報 16. Logging システムロールの使用 Expand section "16. Logging システムロールの使用" Collapse section "16. Logging システムロールの使用" 16.1. Logging システムロール 16.2. Logging システムロールのパラメーター 16.3. ローカルの Logging システムロールの適用 16.4. ローカルの Logging システムロールでのログのフィルターリング 16.5. Logging システムロールを使用したリモートロギングソリューションの適用 16.6. TLS での logging システムロールの使用 Expand section "16.6. TLS での logging システムロールの使用" Collapse section "16.6. TLS での logging システムロールの使用" 16.6.1. TLS を使用したクライアントロギングの設定 16.6.2. TLS を使用したサーバーロギングの設定 16.7. RELP での logging システムロールの使用 Expand section "16.7. RELP での logging システムロールの使用" Collapse section "16.7. RELP での logging システムロールの使用" 16.7.1. RELP を使用したクライアントロギングの設定 16.7.2. RELP を使用したサーバーログの設定 16.8. 関連情報 法律上の通知 Settings Close Language: 日本語 한국어 简体中文 English Language: 日本語 한국어 简体中文 English Format: Multi-page Single-page PDF Format: Multi-page Single-page PDF Language and Page Formatting Options Language: 日本語 한국어 简体中文 English Language: 日本語 한국어 简体中文 English Format: Multi-page Single-page PDF Format: Multi-page Single-page PDF 2.3. 関連情報 FIPS モードへのシステムの切り替え コンテナーでの FIPS モードの有効化 Previous Next