第24章 完全なディスクイメージの作成

メインのオーバークラウドイメージは、パーティション情報またはブートローダーが含まれないフラットパーティションイメージです。director は、ノードをブートする時には別のカーネルおよび ramdisk を使用し、オーバークラウドイメージをディスクに書き込む時に基本的なパーティションレイアウトを作成します。ただし、パーティションレイアウト、ブートローダー、および強化されたセキュリティー機能が含まれる完全なディスクイメージを作成することができます。

重要

以下のプロセスでは、director のイメージビルド機能を使用します。Red Hat では、本項に記載の指針に従うイメージのみをサポートしています。これらとは異なる仕様でビルドされたカスタムイメージはサポートされていません。

24.1. セキュリティー強化手段

完全なディスクイメージには、セキュリティーが重要な機能となる Red Hat OpenStack Platform のデプロイメントに必要な、追加のセキュリティー強化手段が含まれます。

イメージを作成する際のセキュリティーに関する推奨事項

  • /tmp ディレクトリーを別のボリュームまたはパーティションにマウントし、rwnosuidnodevnoexec、および relatime のフラグを付ける。
  • /var/var/log、および /var/log/audit ディレクトリーを別のボリュームまたはパーティションにマウントし、rw および relatime のフラグを付ける。
  • /home ディレクトリーを別のパーティションまたはボリュームにマウントし、rwnodev、および relatime のフラグを付ける。

  • GRUB_CMDLINE_LINUX の設定に以下の変更を加える。

    • 監査を有効にするには、audit=1 カーネルブートフラグを追加します。
    • ブートローダー設定を使用した USB のカーネルサポートを無効にするには、nousb を追加します
    • セキュアでないブートフラグを削除するには、crashkernel=auto を削除します。
  • セキュアでないモジュール (usb-storagecramfsfreevxfsjffs2hfshfsplussquashfsudfvfat) をブラックリストに登録して、読み込まれないようにする。
  • telnet などの安全でないパッケージは、デフォルトでインストールされているため、イメージから削除します。