7.9. インストール直後にセキュリティープロファイルに準拠するシステムのデプロイメント

OpenSCAP スイートを使用して、インストールプロセスの直後に、OSPP や PCI-DSS、HIPAA プロファイルなどのセキュリティープロファイルに準拠する RHEL システムをデプロイできます。このデプロイメント方法を使用すると、修正スクリプトを使用して後で適用できない特定のルール (パスワードの強度とパーティション化のルールなど) を適用できます。

7.9.1. GUI を備えたサーバーと互換性のないプロファイル

SCAP セキュリティーガイド の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベースの環境の拡張パッケージセットと互換性がない場合があります。したがって、次のプロファイルのいずれかに準拠するシステムをインストールする場合は、Server with GUIを選択しないでください。

表7.2 GUI を備えたサーバーと互換性のないプロファイル

プロファイル名プロファイル ID理由注記

[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server

xccdf_org.ssgproject.content_profile_cis

パッケージ xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utils、および xorg-x11-server-Xwayland は、Server with GUIパッケージセットの一部ですが、ポリシーではそれらを削除する必要があります。

 

[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Server

xccdf_org.ssgproject.content_profile_cis_server_l1

パッケージ xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utils、および xorg-x11-server-Xwayland は、Server with GUIパッケージセットの一部ですが、ポリシーではそれらを削除する必要があります。

 

[ドラフト] DISA STIG for Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig

パッケージ xorg-x11-server-Xorgxorg-x11-server-commonxorg-x11-server-utils、および xorg-x11-server-Xwayland は、Server with GUIパッケージセットの一部ですが、ポリシーではそれらを削除する必要があります。

RHEL システムを DISA STIG に準拠したServer with GUI としてインストールするには、DISA STIG with GUI プロファイルを使用できます (BZ#1648162)

7.9.2. グラフィカルインストールを使用したベースライン準拠の RHEL システムのデプロイメント

この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。

警告

SCAP セキュリティーガイド の一部として提供される一部のセキュリティープロファイルは、Server with GUI ベースの環境の拡張パッケージセットと互換性がない場合があります。詳細については、GUI サーバーと互換性のないプロファイル を参照してください。

前提条件

  • グラフィカル インストールプログラムでシステムを起動している。OSCAP Anaconda アドオン はインタラクティブなテキストのみのインストールをサポートしていないことに注意してください。
  • インストール概要 画面を開いている。

手順

  1. インストール概要 画面で、ソフトウェアの選択 をクリックします。ソフトウェアの選択 画面が開きます。
  2. ベース環境 ペインで、サーバー 環境を選択します。ベース環境は、1 つだけ選択できます。
  3. 完了 をクリックして設定を適用し、インストール概要 画面に戻ります。
  4. セキュリティーポリシー をクリックします。セキュリティーポリシー 画面が開きます。
  5. システムでセキュリティーポリシーを有効にするには、セキュリティーポリシーの適用ON に切り替えます。
  6. プロファイルペインで Protection Profile for General Purpose Operating Systems プロファイルを選択します。
  7. プロファイルの選択 をクリックして選択を確定します。
  8. 画面下部に表示される Protection Profile for General Purpose Operating Systems の変更を確定します。残りの手動変更を完了します。
  9. OSPP には、準拠する必要がある厳密なパーティション分割要件があるため、/boot/home/var/var/log/var/tmp、および /var/log/audit にそれぞれパーティションを作成します。

  10. グラフィカルインストールプロセスを完了します。

    注記

    グラフィカルインストールプログラムは、インストールに成功すると、対応するキックスタートファイルを自動的に作成します。/root/anaconda-ks.cfg ファイルを使用して、OSPP 準拠のシステムを自動的にインストールできます。

検証

  • インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。 

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

関連情報

7.9.3. キックスタートを使用したベースライン準拠の RHEL システムのデプロイメント

この手順を使用して、特定のベースラインに合わせた RHEL システムをデプロイします。この例では、OSPP (Protection Profile for General Purpose Operating System) を使用します。

前提条件

  • RHEL 9 システムに、scap-security-guide パッケージがインストールされている。

手順

  1. キックスタートファイル /usr/share/scap-security-guide/kickstart/ssg-rhel9-ospp-ks.cfg を、選択したエディターで開きます。
  2. 設定要件を満たすように、パーティション設定スキームを更新します。OSPP コンプライアンスでは、/boot/home/var/var/log/var/tmp、および /var/log/audit にそれぞれ設定したパーティションを維持して、パーティションのサイズのみを変更できます。
  3. キックスタートインストールを開始する方法は、キックスタートインストールの開始を参照してください。
重要

キックスタートファイルのパスワードでは、OSPP の要件が確認されていません。

検証

  1. インストール完了後にシステムの現在のステータスを確認するには、システムを再起動して新しいスキャンを開始します。 

    # oscap xccdf eval --profile ospp --report eval_postinstall_report.html /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml

関連情報