Red Hat Training
A Red Hat training course is available for Red Hat Satellite
ユーザーガイド
Red Hat Satellite の使用と管理
エディッション 1
John Ha
Lana Brindley
Daniel Macpherson
Athene Chan
David O'Brien
Megan Lewis
概要
前書き
第1章 ユーザーアカウント、グループ、システムの管理
1.1. ユーザーアカウントの管理
1.1.1. ユーザーアカウントの作成および削除
Satellite ユーザーが Satellite サーバーに登録して製品の更新の要求や他の保守作業を行えるようにするには、適切なユーザーアカウントが必要になります。特定の Satellite 管理者
のみがユーザーアカウントを作成できます。
手順1.1 ユーザーアカウントの作成
- Satellite の web サーバーページに移動して、ナビゲーションバー上の ユーザー タブをクリックします。
- ページの右側で、新規ユーザーの作成 をクリックし、ユーザーの作成 ページを開きます。
- すべての必須フィールドに入力します。
注記
ログイン値は 5 文字以上の長さにしてください。使用できるのは英数字、ハイフン、下線、コンマ、ピリオド、および商用の at (@) の文字です。 - ログインの作成 をクリックして、新規ユーザーを作成します。Email が作成時に指定されたアドレスを使ってユーザーに送信され、ユーザーは新規のアカウント詳細について通知されます。また、パスワードはプレーンテキストに含まれます。
- アカウントの作成が完了すると、ユーザーの一覧 ページにリダイレクトされます。新規ユーザーのパーミッションの変更やオプションの設定を行う場合は、表示されている一覧からそのユーザーの名前を選択して ユーザーの詳細 ページを表示し、適切なタブに移動して変更を行います。
Satellite 管理者
のみがユーザーアカウントを削除できます。削除されたアカウントを使用して、Satellite サーバーのインターフェースにログインしたり、動作をスケジュールしたりすることはできません。
警告
手順1.2 ユーザーアカウントの削除
- Satellite の web サーバーページに移動して、ナビゲーションバー上の ユーザー タブをクリックします。
- ユーザー名 の一覧から削除するアカウントのユーザー名をクリックします。ユーザーの詳細 ページが表示されます。
- ユーザーアカウントが Satellite 管理者ではないことを確認します。ユーザーが Satellite 管理者である場合、関連するチェックボックスをクリアにしてからサブミット をクリックします。ユーザーが Satellite 管理者ではない場合は次のステップに進みます。
- ユーザーの削除をクリックします。ユーザーの削除の確認 ページが表示されます。
- このユーザーアカウントを完全に削除してもよいかを確認してから ユーザーの削除 をクリックします。
手順1.3 ユーザーのアクティベートと停止
注記
- ユーザー タブ内にある一覧からユーザー名を選択し、ユーザーの詳細 ページを表示します。
- そのユーザーが Satellite 管理者かどうか確認します。Satellite 管理者である場合は、そのロールの横にあるチェックボックスのチェックマークを外してから サブミット をクリックします。Satellite 管理者ではない場合はそのまま次のステップに進みます。
- ユーザーを停止する をクリックします。この動作を確認するため再クリックが求められます。 詳細を確認してから ユーザーを停止する を再度クリックして確定します。
- アカウントが正しく停止されると、そのユーザー名は アクティブなユーザー の一覧には表示されなくなります。 停止されたユーザーアカウントを表示するには、 ユーザーの一覧 のメニューから 停止 のリンクをクリックします。
- ユーザーアカウントを再度アクティベートする場合は、停止 の一覧を表示させてから、再度アクティベートしたいユーザーの横にあるチェックボックスに印を付け、再度アクティベートする をクリックします。
1.1.2. ユーザーアカウントへのロールの割り当て
ユーザーのロール
- Satellite 管理者
- 組織の作成、サブスクリプションの管理、Satellite Server のグローバル設定など、Satellite の管理作業を行うための特別なロールです。このロールは ユーザーの詳細 ページでは割り当てられません。Satellite Server 管理者ロールを有しているユーザーは、別のユーザーにロールを割り当てることができます。この割り当ては、管理 (Admin) → ユーザー の順に移動して行います。
- 組織の管理者
- 組織内でのユーザー、システム、およびチャンネルなどの管理作業を行います。組織の管理者には、その他すべてのロールに対する管理アクセスが自動的に与えられます。これらは、他のロールが選択されるとチェックボックスがグレー表示されるのでわかるようになっています。
- アクティベーションキーの管理者
- アカウント内のキーの作成、変更、削除など、アクティベーションキー関連の作業を行います。
- チャンネル管理者
- 組織内のソフトウェアチャンネルおよび関連チャンネルへの完全なアクセスが与えられます。チャンネルのサブスクリプションをグローバルに可能にする、新しいチャンネルを作成する、チャンネル内のパッケージを管理する、などの作業を行います。
- 設定管理者
- 組織内の設定チャンネルおよび関連チャンネルへの完全なアクセスが与えられます。組織内のキックスタートプロファイルおよび関連するアイテムへの完全なアクセスも与えられます。組織内のキックスタートプロファイル、チャンネルおよびファイル管理設定の作業を行います。
- Monitoring 管理者
- プローブのスケジューリングや他のモニタリングインフラストラクチャーの監視などを行います。このロールは Monitoring を有効にしている Satellite Server にしかありません。
- システムグループ管理者
- このロールは、アクセス権を付与されたシステムおよびシステムグループに対して完全な権限を有します。システムグループの新規作成、割り当てられたシステムグループの削除、グループへのシステムの追加、グループに対するユーザーアクセスの管理などの作業を行います。
第2章 Red Hat Satellite Server リポジトリの自動同期
cron
ユーティリティを使用する方法です。
手順2.1 cron ユーティリティを使用して同期を自動化するには:
- root ユーザーに切り替え、次のコマンドを実行して、テキストエディターで
crontab
を開きます。# crontab -e
- 適切なジョブ定義を作成して同期のスケジュールを設定します。ランダムな同期時間を作成する場合は以下のエントリを使用します。
0 1 * * * perl -le 'sleep rand 9000' && satellite-sync --email >/dev/null 2>1
このエントリは、01:00 から 03:30 の間に同期ジョブをランダムに実行し、cron
ユーティリティからstdout
とstderr
メッセージを破棄しています。これは、satellite-sync
コマンドからのメッセージの重複を防いでいます。他のオプションも必要に応じて追加することができます。さらに詳しくは、crontab
man ページのman crontab
を参照してください。 - テキストエディターを終了するだけで更新された
crontab
ファイルは保存されます。追加した新しいルールは直ちに反映されます。
注記
crontab
ファイルは vi で開かれます。この動作を変更するには、EDITOR
の変数を希望するテキストエディターの名前に変更します。
第3章 障害回復の計画
3.1. Red Hat Satellite Server のバックアップ
Red Hat は、少なくとも以下のファイルおよびディレクトリをバックアップすることを推奨しています。
/var/lib/pgsql/
: 組み込みデータベースのみ。/etc/sysconfig/rhn/
/etc/rhn/
/etc/sudoers
/var/www/html/pub/
/var/satellite/redhat/[0-9]*/
(カスタムの RPM を格納する場所)/root/.gnupg/
/root/ssl-build/
/etc/dhcp.conf
/etc/httpd
/tftpboot/
/var/lib/cobbler/
/var/lib/rhn/kickstarts/
/var/www/cobbler
/var/lib/nocpulse/
/var/satellite/
もバックアップしてください。障害が発生した場合にダウンロード時間を短縮できます。/var/satellite/
ディレクトリ (特に /var/satellite/redhat/NULL/
) は主として Red Hat の RPM リポジトリの複製となるため、satellite-sync
コマンドで再生成することができます。Red Hat は /var/satellite/
ツリー全体のバックアップを推奨します。分離モードの Satellite の場合には、/var/satellite/
のバックアップは必須となります。
- Red Hat Satellite ISO RPM を再インストールします。
- サーバーを再登録します。
satellite-sync
コマンドを使用して Red Hat パッケージを再同期します。/root/ssl-build/rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm
ファイルを再インストールします。
別の方法として、前述のファイルとディレクトリのバックアップはすべて行い、Satellite サーバーは登録せずに再インストールする方法です。インストール時に、Red Hat Network の登録と SSL 証明書の生成の部分は取り消すか、または省略します。
最後に、最も包括的な方法としてマシン全体をバックアップする方法があります。この方法の場合、ダウンロードと再インストールの時間を節約することができます。ただし、余分なディスク領域とバックアップ時間が必要になります。
重要
rhn-search
サービスの起動時に検索インデックスの再作成が行われるようにスケジュールする必要があります。
# service rhn-search cleanindex
3.2. 組み込みデータベースのバックアップ
db-control
コマンドは、バックアップの作成、検証、復元をはじめデータベースの状態に関する情報の取得、必要な時の再起動に至るまでの様々な機能を提供します。利用可能な機能の完全な一覧については db-control
man ページ (man db-control
) を参照してください。
3.2.1. データベースのオンラインバックアップの実行
db-control
コマンドにオプションが加わることにより、この機能が可能になりました。
db-control
コマンドに追加されました。
online-backup FILENAME:
Satellite データベースのオンラインバックアップを実行します (組み込み PostgreSQL のみ)。reset-password:
ユーザーパスワードをリセットし、アカウントのロックを解除します。restore DIRECTORY | FILENAME:
以下のいずれかのバックアップによりデータベースを復元します。db-control
によって取得され、DIRECTORY ディレクトリに保存されるオフラインのバックアップ。backup
backup
とrestore
操作がどちらも正常に実行されるため、データベースは停止している必要があります。db-control
によって取得され、FILENAME として保存されるオンラインのバックアップ。online-backup
online-backup
とrestore
操作がどちらも正常に実行されるため、データベース自体は実行中である必要がありますが、それ以外のすべての Satellite サービスは停止している必要があります。
3.2.1.1. オンラインバックアップの実行
FILENAME
オプションを、作成するバックアップファイルの完全パスに置き換えます。この場所は、PostgreSQL ユーザーが書き込める必要があります。
# db-control online-backup
FILENAME
注記
3.2.1.2. オンラインバックアップからのデータベースの復元
db-control online-backup
コマンドを使用して作成されたバックアップから組み込みデータベースを復元するには、db-control restore
FILENAME
コマンドを使用します。データベースを復元する前に、データベース自体を除く、すべての Satellite サービスをシャットダウンする必要があります。
手順3.1 オンラインバックアップからデータベースを復元するには:
- root ユーザーに切り替え、データベース以外のすべての Satellite サービスを停止するために以下のコマンドを実行します。
# rhn-satellite
stop
--exclude=postgresql
- 以下のコマンドを実行してデータベースを復元します。
FILENAME
オプションを、db-control
コマンドで作成したバックアップファイルの完全パスで置き換えます。online-backup
# db-control
restore
FILENAME
- 復元が完了したら、以下のコマンドを実行して、データベースとすべての関連サービスを再起動します。
# rhn-satellite
start
3.2.2. データベースのオフラインバックアップの実行
3.2.2.1. オフラインバックアップの実行
手順3.2 オフラインバックアップを作成するには:
- root ユーザーに切り替え、以下のコマンドを実行して Satellite サーバーを停止します。
# rhn-satellite stop
- 以下のコマンドを実行してバックアップを作成します。
# db-control
backup DIRECTORY
DIRECTORY の部分はデータベースのバックアップの保管先となる場所の絶対パスを入力してください。このプロセスには数分かかります。 - バックアップが完了したら、以下のコマンドを実行して Satellite サーバーを再起動します。
# rhn-satellite start
- 次にバックアップを rsync または別のファイル転送ユーティリティを使って別のシステムにコピーします。Red Hat は cron ジョブを使って自動バックアップのプロセスをスケジュールすることを強く推奨します。 例えば、午前 3 時にシステムをバックアップしてからそのバックアップを午前 6 時に別のリポジトリ (パーティション、ディスク、またはシステム) にコピーします。
3.2.2.2. バックアップの検証
# db-control examine
DIRECTORY
# db-control verify
DIRECTORY
注記
3.2.2.3. データベースの復元
db-control restore
コマンドを使用してバックアップから組み込みデータベースを復元します。データベースの復元を試行する前に、データベースと関連するすべてのサービスをシャットダウンする必要があります。
手順3.3 バックアップから組み込みデータベースを復元するには:
- すべての Red Hat Satellite サービスを停止するために以下のコマンドを実行します。
# rhn-satellite
stop
- 復元を開始するには、バックアップが格納されているディレクトリを含む、以下のコマンドを実行します。directory の部分は、バックアップが格納されている場所の絶対パスで置き換えます。まずバックアップの内容の検証が行われてから、実際のデータベースの復元が行われます。このプロセスには数分かかります。
# db-control
restore directory
このコマンドは組み込みデータベースを復元するだけではありません。復元の前にチェックサムを使ったバックアップディレクトリの内容の検証も行います。 - 復元が完了したら、データベースと関連サービスを再起動します。
# rhn-satellite
start
- バックアップしているデータベースが外部のデータベースか組み込みデータベースであるかに関わらず、バックアップからデータベースを復元する際には
rhn-search
サービスの次回の起動時に検索インデックスの復元が行われるようスケジュールします。# service rhn-search
cleanindex
3.3. 組み込みデータベースを使用する Red Hat Satellite のクローン作成
手順3.4 組み込みデータベースを使用する Satellite Server のクローンを作成するには:
- 組み込みデータベースを使用する Red Hat Satellite を、別のマシン上の Red Hat Enterprise Linux のベースインストールにインストールします。つまり、Red Hat Satellite の 1 次サーバーとは異なるマシンにインストールします。SSL 証明書の生成手順は省略します。
- 「オフラインバックアップの実行」 で説明されているようにコマンドを使って 1 次サーバーのデータベースを日次でバックアップします。これを行うと、障害が発生した日の変更のみが失われることになります。
- バックアップを 2 次サーバーにコピーするメカニズムを構築します。rsync などのファイル転送プログラムを使ってリポジトリを常に同期しておきます。SAN (Storage Area Network) を使用している場合はコピーは不要です。
db-control
コマンドを使用して重複するデータをインポートします。restore
- 1 次サーバーに障害が発生した場合、
/root/ssl-build
内にある SSL キーペアの RPM パッケージを 1 次サーバーから 2 次サーバーに転送し、そのパッケージをインストールします。これにより、Red Hat Satellite クライアントの 2 次サーバーでの認証および安全な接続が可能になります。 - DNS が 2 次サーバーを参照するように更新するか、またはロードバランサーを適切に設定します。
3.4. 外部データベースを使用する冗長な Satellite の作成
重要
手順3.5 外部データベースを使用する冗長な Satellite を作成するには:
- 別のマシンに Red Hat Satellite をインストールしますが、データベースの設定、データベースのスキーマ、SSL 証明書、およびブートストラップスクリプトなどの生成手順の部分は省略します。Satellite の初回インストール時に入力した同じ Red Hat Network アカウント情報およびデータベース接続情報を含めます。
- 新規の Satellite サーバーを登録します。詳しくは、Red Hat Satellite 『インストールガイド』 を参照してください。
- オリジナルの SSL 証明書作成時に高可用性ソリューションについて考慮していなかった場合は、より適切な
Common Name
の値を使って新しい SSL 証明書を作成してください (「Red Hat Satellite 『クライアント設定ガイド』」の 「『SSL Maintenance Tool』」を参照)。この場合、この新規の値を取り込む新しいブートストラップスクリプトを生成します (「『Red Hat Satellite クライアント設定ガイド』」の「『ブートストラップスクリプトを生成する』」に記載)。Common Name
の値が単一マシンのホスト名を表すのではなく、 Satellite の一体化ソリューションを表すようにします。 - インストールが終了したら、次のファイルを 1 次サーバーから 2 次サーバーにコピーします。
/etc/rhn/rhn.conf
/etc/tnsnames.ora
(Oracle データベースのみ。)
- 1 次サーバーからサーバー側の SSL 証明書 RPM をコピーして 2 次サーバーにインストールします。インストールプロセス時に新しい Common Name の値を含んだ新しい SSL 証明書を生成した場合には、その SSL 証明書 RPM を 2 次サーバーから1 次サーバーにコピーしてクライアント側の証明書を再配信します。また、別のブートストラップスクリプトを作成した場合には、すべてのクライアントシステムへの証明書のインストールにはこのスクリプトを使用します。
- 新しいブートストラップスクリプトを作成した場合は、
/var/www/html/pub/bootstrap/
の内容を1 次サーバーにコピーします。 - 新しいブートストラップスクリプトを作成しなかった場合は、
/var/www/html/pub/bootstrap/
の内容を1 次サーバーから 2 次サーバーにコピーします。
- Red Hat Network Task Engine サービスを停止するには、 2 次サーバー上で以下のコマンドを実行します。
# service taskomatic stop
2 次サーバー上で、カスタムのスクリプトを使用するか、またはその他の方法を使用して Red Hat Network Task Engine の自動スタートアップや自動フェールオーバーを確立することもできます。いずれの場合も、障害の発生時に確実に起動できるようにする必要があります。 - 何らかのネットワークストレージデバイスでチャンネルパッケージのデータ (デフォルトでは
/var/satellite
にある) とキャッシュデータ (デフォルトでは/var/cache/rhn
にある) を1 次サーバーと 2 次サーバー間で共有します。これによりデータを重複して持たせることなく各サーバーのデータ保存整合性を確保できるようになります。 - Common Name およびご使用のインフラストラクチャーに合った方法を用いてネットワーク上で各種のサーバーを使用できるようにします。ラウンドロビンの DNS、ネットワーク負荷分散機能、およびリバースプロキシの設定などが考えられます。
3.5. Satellite データベースのバックアップの自動化
cron
を使用する方法です。
手順3.6 Satellite Server データベースのバックアップを自動化するには:
backup-db.sh
という名前の新しいファイルを作成し、以下のスクリプトを含ませます。このスクリプトで Satellite の停止や、データベースのバックアップ、および Satellite の再起動などを行います。
#!/bin/bash { /usr/sbin/rhn-satellite stop d=db-backup-$(date "+%F"); mkdir -p /tmp/$d; db-control backup /tmp/$d /usr/sbin/rhn-satellite start } &> /dev/null
move-files.sh
という名前の新しいファイルを作成し、以下のスクリプトを含ませます。このスクリプトを使ってバックアップファイルを格納先のディレクトリにrsync
で移動します。#!/bin/bash rsync -avz /tmp/db-backup-$(date "+%F") <destination> &> /dev/null
<destination> をバックアップディレクトリのパスに置き換えます。または、以下のスクリプトを使用しても同じことができます。#!/bin/bash scp -r /tmp/db-backup-$(date "+%F") <destination> &> /dev/null
- root ユーザーに切り替え、テキストエディターで
crontab
ファイルを開きます。# crontab -e
注記
デフォルトではcrontab
ファイルは vi で開かれます。この動作を変更するには、EDITOR
の変数を希望するテキストエディターの名前に変更します。 - 適切なジョブ定義を作成して、バックアップスクリプトを実行するスケジュールを設定します。
0 3 * * * backup-db.sh 0 6 * * * move-files.sh
このcrontab
のエントリの場合、バックアップは 03:00 に、そのバックアップファイルの転送は 06:00 にそれぞれ実行されます。その他のオプションも必要に応じて追加することができます。また、古いバックアップディレクトリを削除してバックアップストレージが満杯にならないようにするクリーンアップスクリプトを含めることもできます。 - エディターを終了するだけで
crontab
ファイルは保存されます。追加した新しいルールは直ちに反映されます。
第4章 ソフトウェアチャンネルおよびエラータのクローン作成
spacewalk-clone-by-date
コマンドを使用すると、Red Hat Enterprise Linux システムに対してエラータが利用可能になった日付でカスタムの Red Hat Enterprise Linux チャンネルのクローンを作成することができるようになります。
4.1. 特長
spacewalk-clone-by-date
で利用できる機能を以下に示します。
- 特定の日付のチャンネルのエラータと関連するパッケージの状態のクローンを作成する
- スクリプトとテンプレートファイルでクローン作成を自動化する
- チャンネルからパッケージを削除するか、またはパッケージをブロックする
- 親チャンネルと子チャンネル内のパッケージの依存関係を解決する
- フィルターをかけて特定のエラータのみをクローン作成し、他のエラータは無視する (例えば、セキュリティエラータのみを作成し、バグ修正や機能強化は無視)
注記
spacewalk-clone-by-date
コマンドは root ユーザー で実行する必要があります。また、username
は組織管理者か、またはチャンネル管理者のいずれかにしてください。
4.2. 使用例
rhel-i386-server-5
チャンネルを my-clone-RHEL-5 という名前のチャンネルにクローン作成します。
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01
# spacewalk-clone-by-date --username=your_username --password=your_password --server=satellite_server_url --channels=rhel-i386-server-5 my-clone-RHEL-5 --to_date=2012-01-01 --security_only --background --blacklist=kernel,vim-extended --assumeyes
spacewalk-clone-by-date
の man ページを参照してください。
第5章 モニタリング
5.1. 表スペースのモニタリング
root
ユーザーとして db-control report
コマンドを実行します。
root
ユーザーとして db-control tablesizes
コマンドを実行します。
5.2. Red Hat Satellite Server プロセスのモニタリング
rhn-satellite status
コマンドを使って、Satellite Server に関連するすべてのサービスが実行中であることを検証します。
# rhn-satellite status
第6章 OpenSCAP を使用したシステムの保守
6.1. OpenSCAP の特長
6.2. OpenSCAP の前提条件
- システムが標準に適合することを検証するツール。Satellite Server 5.5 以降は、OpenSCAP を監査機能として使用します。これにより Web インターフェースを使ったシステムのコンプライアンススキャンをスケジュールして表示させることが可能になります。
- SCAP のコンテンツSCAP のコンテンツは、少なくとも XCCDF または OVAL を理解していればゼロから作成することができます。XCCDF のコンテンツはオープンソースライセンスで頻繁にオンライン公開されるため、ニーズに合わせてこのコンテンツをカスタマイズすることもできます。
注記
Red Hat ではテンプレートを使用したシステム評価に対応しています。ただし、こうしたテンプレートのカスタムのコンテンツオーサリングについては対応していません。XCCDF のコンテンツを公開している機関の例をいくつか示します。- The United States Government Configuration Baseline (USGCB): 米国連邦機関内のデスクトップ向け公式 SCAP コンテンツです。OVAL を使用し、Red Hat, Inc および国防総省 (DoD) との協同の下 NIST で開発されました。
- コミュニティが提供するコンテンツ:
- SCAP Security Guide: アクティブなコミュニティにより運営されるコンテンツで、USGCB 要件や広く認められているポリシーをソースとし、デスクトップやサーバー、 FTP サーバーなどのプロファイルが含まれています。Red Hat Enterprise Linux 6 と JBoss Enterprise Application Server 5. に適しています。
- OpenSCAP コンテンツ - Red Hat Enterprise Linux 6 向け: Red Hat Enterprise Linux 6 のオプションチャンネルから取得できる openscap-content パッケージでは、テンプレートを使ったデフォルトコンテンツのガイダンスを提供しています。
6.3. OpenSCAP の使用における Red Hat Satellite の前提条件
- Satellite Server: Satellite 5.5 またはそれ以降。
- Satellite Client: spacewalk-oscap パッケージ (Red Hat Network Tools 子チャンネルから利用可能)。
スキャンのスケジュールに Management エンタイトルメントが必要です。
Satellite クライアント: XCCDF コンテンツのすべてのクライアントマシン群への配信。
- 従来の方法 (CD、USB、NFS、SCP、FTP)
- Satellite のスクリプト
- RPM パッケージSCAP コンテンツを他のマシンに配信する場合はカスタムの RPM を使用する方法を推奨します。 RPM パッケージはその完全性を保証するために署名を行い、検証することができます。RPM のインストール、削除、および検証はユーザーインターフェースで管理することができます。
6.4. 監査スキャンの実行
6.4.1. Web インターフェースを使った監査スキャン
手順6.1 Web インターフェースを使って監査スキャンを実行するには:
- Satellite Web インターフェースにログインします。
- システム → system_name の順にクリックします。
- 監査 → スケジュール の順にクリックします。
新規の XCCDF スキャンをスケジュール
ページに入力します。このページのフィールドの詳細については、「「スケジュール」ページ」 を参照してください。警告
XCCDF コンテンツは検証が行われると、リモートシステムで実行されます。無効な引数を指定すると、spacewalk-oscap
による検証や実行が失敗する可能性があります。セキュリティ対策上、oscap xccdf eval
コマンドが受け取るのは限られたパラメーターセットのみになります。
注記
rhn_check
コマンドを実行して、クライアントシステムで動作が正しく選択されているかどうかを確認します。
# rhn_check -vv
rhnsd
や osad
がクライアントシステムで実行している場合には、動作はこれらのサービスによって選択されます。これらが実行中であることを確認するには、以下のコマンドのいずれかを実行します。
# service rhnsd start
または# service osad start
6.4.2. API を使った監査スキャン
手順6.2 API を使って監査スキャンを実行するには:
- 既存のスクリプトを選択するか、またはフロントエンドの API
system.scap.scheduleXccdfScan
を使ってシステムスキャンのスケジュールを行うスクリプトを作成します。例えば、以下のようになります。#!/usr/bin/python client = xmlrpclib.Server('https://satellite.example.com/rpc/api') key = client.auth.login('username', 'password') client.system.scap.scheduleXccdfScan(key, 1000010001, '/usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml', '--profile united_states_government_configuration_baseline')
ここで:- 1000010001 は
system ID (sid)
です。 /usr/local/share/scap/usgcb-rhel5desktop-xccdf.xml
はクライアントシステム上のコンテンツのある場所へのパスです。この場合、/usr/local/share/scap
ディレクトリ内の USGCB コンテンツを想定しています。--profile united_states_government_configuration_baseline
はoscap
コマンドの追加引数です。この場合、USGCB を使用しています。
- いずれかのシステムのコマンドラインインターフェースでスクリプトを実行します。このシステムには適切な python ライブラリと XML-RPC ライブラリをインストールしておく必要があります。
注記
rhn_check
コマンドを実行して、クライアントシステムで動作が正しく選択されているかどうかを確認します。
# rhn_check -vv
rhnsd
や osad
がクライアントシステムで実行している場合には、動作はこれらのサービスによって選択されます。これらが実行中であることを確認するには、以下のコマンドのいずれかを実行します。
# service rhnsd start
または# service osad start
6.4.3. SCAP 監査の結果の表示
- Web インターフェースを使う方法。スキャンが終了すると、その結果は特定システムの 監査 ページに表示されます。「OpenSCAP Satellite の Web インターフェース」 を参照してください。
- ハンドラーの
system.scap
で API 関数を使う方法。 spacewalk-report
コマンドを使用する方法。次のコマンドを実行します。# spacewalk-report system-history-scap
# spacewalk-report scap-scan
# spacewalk-report scap-scan-results
6.5. OpenSCAP Satellite の Web インターフェース
6.5.1. OpenSCAP のスキャンページ
6.5.1.1. 全スキャン
- システム: スキャンされたシステム。
- XCCDF プロファイル: 評価を行ったプロファイル。
- 完了: スキャンが完了した時間。
- 合格: 評価の結果が合格になったルール数。ルールは、評価の結果が合格または修正済みのいずれかになる場合に合格とみなされます。
- 不合格: 評価の結果が不合格になったルール数。ルールは、評価の結果が失敗になる場合に不合格とみなされます。
- 不明: 評価に失敗したルール数。ルールは、評価の結果がエラー、不明、またはチェックされていない、などになる場合に不明とみなされます。
6.5.1.2. XCCDF 差分
差分
の出力にアクセスできます。または、任意のスキャンの ID を指定することもできます。
6.5.1.3. 高度な検索
- ルールの結果
- 対象マシン
- スキャンの時間枠
6.5.2. 「システム監査 (Systems Audit)」ページ
SCAP (Security Content Automation Protocol)
を実装する OpenSCAP ツールで行います。システムのスキャンを行う場合は、SCAP コンテンツの準備が整い、要件がすべて満たされていることを確認してください。
6.5.2.1. スキャンの一覧
表6.1 OpenSCAP スキャンのラベル
コラムのラベル | 定義 |
---|---|
Xccdf のテスト結果 | スキャンの結果詳細へのリンクになっているスキャンテストの結果の名前 |
完了 | スキャンが終了した正確な時間 |
コンプライアンス | 標準的な使用に基づくコンプライアンスの加重のない合格/不合格の配分 |
P | 合格のチェック数 |
F | 不合格のチェック数 |
E | スキャン中に発生したエラー数 |
U | 不明 |
N | このマシンには適用不可 |
K | チェックされていない |
S | 選択されていない |
I | 情報 |
X | 修正済み |
合計 | チェック合計数 |
- 前回のスキャンと比較して違いなし
- 前回のスキャンと比較して任意の違いあり
- 深刻な違い、前回のスキャンに比べ不合格が増加しているか、または合格が少ない。
- 比較できるスキャンが見つからなかったため、比較は行われなかった。
6.5.2.2. スキャンの詳細
このセクションには、次のようなスキャンについての詳細が表示されます。
ファイルシステムパス:
スキャンに使用された XCCDF ファイルへのパスコマンドラインの引数:
使用されたすべての追加コマンドラインの引数プロファイル識別子:
スキャンに使用されたプロファイルの識別子プロファイルのタイトル:
スキャンに使用されたプロファイルのタイトルスキャンのエラー出力:
スキャン中に発生したエラー。
ルールの結果では、XCCDF ルール識別子の全一覧が表示され、各ルールチェックの結果のタグと結果を確認することができます。この一覧は特定の結果でフィルターをかけることができます。
6.5.2.3. 「スケジュール」ページ
- コマンドラインの引数:
oscap
コマンドのオプションの引数になります。以下のいずれかになります。--profile PROFILE
: XCCDF ドキュメントから特定のプロファイルを指定します。プロファイルは、XCCDF XML ファイル内のプロファイル
タグで決定されます。所定の XCCDF ファイル内でプロファイルの一覧を確認するにはoscap
コマンドを使用します。例えば、以下のようになります。$ oscap info /usr/share/openscap/scap-rhel6-xccdf.xml Document type: XCCDF Checklist Checklist version: 1.1 Status: draft Generated: 2011-10-12 Imported: 2012-11-15T22:10:41 Resolved: false Profiles: RHEL6-Default
指定されていない場合は、デフォルトのプロファイルが使用されます。注記
Red Hat Enterprise Linux 5 の以前のバージョンの OpenSCAP には、--profile
オプションを使用しないとスキャンが失敗するものがあります。--skip-valid
: 入力や出力のファイルの検証を行いません。XCCDF コンテンツが適切な形式で構成されていない場合、このオプションを使用するとファイル検証のプロセスを回避することができます。
- XCCDF ドキュメントへのパス: これは必須フィールドになります。
path
パラメーターでクライアントシステム上の XCCDF コンテンツの場所をポイントします。例えば、/usr/local/scap/dist_rhel6_scap-rhel6-oval.xml
などです。警告
XCCDF コンテンツは検証が行われると、リモートシステムで実行されます。無効な引数を指定すると、spacewalk-oscap
による検証や実行が失敗する可能性があります。セキュリティ対策上、oscap xccdf eval
コマンドが受け取るのは限られたパラメーターセットのみになります。
第7章 クライアントソフトウェアの障害レポート
7.1. 単一クライアントのソフトウェア障害の表示
手順7.1 単一クライアントのソフトウェア障害を表示するには
- Red Hat Satellite Web UI にログインします。
- 登録済みのシステムで発生したソフトウェア障害の一覧を表示するには、システム → system_name → ソフトウェア → ソフトウェアのクラッシュ の順にクリックします。
- 該当する障害をクリックし、その詳細とソフトウェア障害レポート用に取り込まれたファイルを表示します。
7.2. 類似するソフトウェア障害の分類
手順7.2 複数のクライアントでの類似するソフトウェア障害を表示するには
- Red Hat Satellite Web UI にログインします。
- すべての登録済みシステムにおけるすべてのソフトウェア障害の一覧を表示するには、システム → ソフトウェアのクラッシュ の順にクリックします。
- ソフトウェア障害で影響を受けるシステムを表示するには、クラッシュ UUID をクリックします。
- 特定のシステムをクリックし、詳細と個別のソフトウェア障害レポート用に取り込まれたファイルを表示します。
7.3. ソフトウェア障害レポートについての組織全体の設定の変更
手順7.3 ソフトウェア障害についての組織全体の設定を変更するには
- Satellite Web UI で、管理 (Admin) → <organization_name> → 設定 の順にクリックします。
- 組織全体でのアップロードサイズの設定を変更してから、組織の更新 をクリックして保存します。
7.4. ソフトウェア障害のログファイル
/var/satellite/systems/$org_id/$system_id/crashes/$crash_name/
ディレクトリに物理的に格納されます。
第8章 Red Hat Satellite レポートの生成
channel-packages
- チャンネル内のパッケージchannels
- チャンネルレポートcustom-info
- システムカスタム情報の表示entitlements
- エンタイトルメントとチャンネルの一覧と使用errata-channels
- チャンネル内のエラータの一覧errata-list
- システムに対するコンプライアンス検査に基づくエラータ情報errata-list-all
- 全エラータの一覧errata-systems
- 影響を受ける各システムに適用できる各エラータの一覧inactive-systems
- Satellite 内の休止中のシステムinventory
- インベントリレポートkickstartable-trees
- キックスタート可能なツリーの一覧packages-updates-all
- アップグレード可能なパッケージの一覧packages-updates-newest
- アップグレード可能なパッケージの一覧scap-scan
- OpenSCAP xccdf の評価の結果scap-scan-results
- OpenSCAP xccdf の評価の結果system-crash-count
- システムのクラッシュ数system-crash-details
- システムのクラッシュの詳細system-currency
- システムの状態の一覧system-groups
- Satellite 内のシステムグループsystem-groups-keys
- システムグループのアクティベーションキーsystem-groups-systems
- システムグループ内のシステムsystem-groups-users
- システムグループのユーザーレポートsystem-history
- システムのイベント履歴system-history-channels
- チャンネルのイベント履歴system-history-configuration
- 設定のイベント履歴system-history-entitlements
- システムのエンタイトルメントに関するイベント履歴system-history-errata
- エラータに関するイベント履歴system-history-kickstart
- キックスタートに関するイベント履歴system-history-packages
- パッケージに関連するイベント履歴system-history-scap
- OpenSCAP に関するイベント履歴system-packages-installed
- システムにインストールされたパッケージusers
- システム内のユーザーusers-systems
- 個別ユーザーが管理するシステム
spacewalk-report
コマンドを使用します。
# spacewalk-report report-name
-h
オプションを使って spacewalk-report
コマンドを実行します。
第9章 Red Hat Satellite の管理タスクのスケジューリング
taskomatic
サービスを使った長期的な操作を定期的に実行することができます。これらの操作は個別の作業に分けられ、スケジュールで定義される バンチ に論理的に分類されます。これらのスケジュールは、特定の時間の間隔で実行するように変更することができます。Satellite のスケジュールは、以下を目的として使用されます。
- 作業を自動化して、組織管理者から管理上の負担を取り除く。
- 組織の日々のネットワークトラフィックに負担をかけない時間枠に操作上の作業をスケジュールする。
表9.1 Red Hat Satellite 5.6 におけるデフォルトのスケジュール
スケジュール名 | バンチ名 | バンチ機能 |
---|---|---|
channel-repodata-default | channel-repodata-bunch | チャンネルのリポジトリデータを生成する。 |
cleanup-data-default | cleanup-data-bunch | 古く無効になったまま残されたデータを消去する。 |
clear-taskologs-default | clear-taskologs-bunch | taskomatic 実行ログ履歴を消去する。 |
cobbler-sync-default | cobbler-sync-bunch | cobbler 設定変更を適用する。 |
compare-configs-default | compare-configs-bunch | 全システムでの設定ファイルの比較をスケジュールする。 |
daily-status-queue | daily-status-bunch | デイリーレポートを送信する。 |
errata-cache-default | errata-cache-bunch | 特定のサーバーまたはチャンネル用のエラータキャッシュを再計算する。 |
errata-queue-default | errata-queue-bunch | エラータを処理する。 |
kickstart-cleanup-default | kickstart-cleanup-bunch | 古くなったキックスタートを消去する。 |
kickstartfile-sync-default | kickstartfile-sync-bunch | ウィザードを使って生成したキックスタートプロファイルを同期する。 |
package-cleanup-default | package-cleanup-bunch | 孤立しているパッケージを消去する。 |
sandbox-cleanup-default | sandbox-cleanup-bunch | サンドボックスを消去する。 |
satcert-check-default | satcert-check-bunch | Satellite 証明書の有効期限の状態を判別する。 |
session-cleanup-default | session-cleanup-bunch | 期限切れの行が増大しすぎないよう PXTSessions テーブルから削除する。 |
sync-probe-default | sync-probe-bunch | プローブ状態を同期する。 |
9.1. 実行 (Run) のスケジューリング
手順9.1 スケジュールテンプレートの作成
- 組織管理者として Satellite にログインします。
- 管理 (Admin) → タスクスケジュール → スケジュールの作成の順にクリックします。
- 以下のフィールドに入力します。
- スケジュール名: 先頭は文字で開始します。使用できるのは小文字、ハイフン、ピリオド、下線、または数字のみになります。
- バンチ: 管理者が選択できる管理作業のデフォルトのバンチ。
- 頻度頻度については、以下のオプションを使用できます。
- スケジュールを無効にする: スケジュールされる作業とその結果についての詳細の知識を持つ管理者のみに推奨されます。スケジュールを無効にすることで、Satellite の動作を変更できます。
- 毎日: 指定される時間に、日次のスケジュールを作成します。
- 毎週: 指定される日と時間に、週次のスケジュールを作成します。
- 毎月: 指定される日と時間に、月次のスケジュールを作成します。
- カスタム Quartz 形式: この形式では、Cron 式に基づいてスケジュールを定義します。この形式について詳しくは、crontab man ページ (
man 5 crontab
) を参照してください。
- スケジュールの作成 をクリックします。
手順9.2 スケジュールテンプレートの編集
- 組織管理者として Satellite にログインします。
- 管理 (Admin) → タスクスケジュール の順にクリックします。
- 変更するスケジュールをクリックします。
- 必要に応じて頻度のタイプを変更します。
- スケジュールの編集をクリックします。
付録A 改訂履歴
改訂履歴 | |||||||||
---|---|---|---|---|---|---|---|---|---|
改訂 3-19.1.400 | 2013-10-30 | Rüdiger Landmann | |||||||
| |||||||||
改訂 3-19.1 | Mon Oct 14 2013 | Credit Translator's | |||||||
| |||||||||
改訂 3-19 | Wed Sep 11 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-18 | Wed Sep 11 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-17 | Wed Sep 11 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-16 | Tue Sep 10 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-15 | Thu Aug 29 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-14 | Tues Aug 20 2013 | Megan Lewis | |||||||
| |||||||||
改訂 3-13 | Mon Jul 29 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-12 | Sun Jul 28 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-11 | Wed Jul 24 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-10 | Tue Jul 23 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-9 | Fri Jul 12 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-8 | Fri Jul 12 2013 | Dan Macpherson | |||||||
| |||||||||
改訂 3-6 | Thu Jul 11 2013 | David O'Brien | |||||||
| |||||||||
改訂 3-5 | Wed Sept 19 2012 | Dan Macpherson | |||||||
| |||||||||
改訂 3-4 | Fri Aug 31 2012 | Athene Chan | |||||||
| |||||||||
改訂 3-3 | Fri Aug 24 2012 | Athene Chan | |||||||
| |||||||||
改訂 3-3 | Fri Aug 24 2012 | Athene Chan | |||||||
| |||||||||
改訂 3-2 | Fri Aug 24 2012 | Athene Chan | |||||||
| |||||||||
改訂 3-1 | Fri Aug 17 2012 | Athene Chan | |||||||
| |||||||||
改訂 3-0 | Thu Aug 9 2012 | Athene Chan | |||||||
| |||||||||
改訂 2-5 | Wed Aug 1 2012 | Athene Chan | |||||||
| |||||||||
改訂 2-0 | Fri Jul 6 2012 | Athene Chan | |||||||
| |||||||||
改訂 1-5 | Mon Aug 15 2011 | Lana Brindley | |||||||
| |||||||||
改訂 1-4 | Mon Jun 20 2011 | Lana Brindley | |||||||
| |||||||||
改訂 1-3 | Mon Jun 20 2011 | Lana Brindley | |||||||
| |||||||||
改訂 1-2 | Wed Jun 15 2011 | Lana Brindley | |||||||
| |||||||||
改訂 1-1 | Fri May 27 2011 | Lana Brindley | |||||||
| |||||||||
改訂 1-0 | Fri May 6, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-15 | Thu May 5, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-14 | Mon May 2, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-13 | Fri Apr 29, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-12 | Mon Apr 18, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-11 | Mon Apr 18, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-10 | Mon Apr 18, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-9 | Thu Apr 14, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-8 | Wed Apr 13, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-7 | Wed Mar 23, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-6 | Mon Feb 19, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-5 | Fri Feb 18, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-4 | Mon Jan 10, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-3 | Fri Jan 7, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-2 | Wed Jan 5, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-1 | Tue Jan 4, 2011 | Lana Brindley | |||||||
| |||||||||
改訂 0-0 | Tue Dec 21, 2010 | Lana Brindley | |||||||
|