9.6. SCAP コンテンツの設定
SCAP データストリームとテーラリングファイルをアップロードして、コンプライアンスポリシーを定義できます。
9.6.1. デフォルト SCAP コンテンツのロード
デフォルト SCAP コンテンツを Satellite Server にロードすると、SCAP セキュリティーガイド (SSG) からのデータストリームがロードされ、すべての組織と場所に割り当てられるようになります。
SSG は、Satellite Server のオペレーティングシステムによって提供され、/usr/share/xml/scap/ssg/content/
にインストールされます。利用可能なデータストリームは、Satellite が実行されているオペレーティングシステムのバージョンによって異なることに注意してください。この SCAP コンテンツは、Satellite Server と同じ RHEL マイナーバージョン持つホストをスキャンする場合にのみ使用できます。詳細は、「RHEL でサポートされている SCAP コンテンツの取得」 を参照してください。
前提条件
-
ユーザーアカウントに
create_scap_contents
権限を持つロールが割り当てられている。
手順
Satellite Server で次の Hammer コマンドを使用します。
# hammer scap-content bulk-upload --type default
9.6.2. RHEL でサポートされている SCAP コンテンツの取得
Red Hat Enterprise Linux の最新の SCAP セキュリティーガイド (SSG) は Red Hat カスタマーポータルで入手できます。ホストの RHEL マイナーバージョン用に指定された SSG バージョンを取得する必要があります。
手順
- パッケージブラウザーの SCAP セキュリティーガイド にアクセスします。
-
バージョン メニューから、ホストが実行している RHEL マイナーバージョン向けの最新の SSG バージョンを選択します。たとえば、RHEL 8.6 の場合は、
*.el8_6
という名前のバージョンを選択します。 - パッケージ RPM をダウンロードします。
RPM からデータストリームファイル (
*-ds.xml
) を展開します。以下に例を示します。$ rpm2cpio scap-security-guide-0.1.69-3.el8_6.noarch.rpm \ | cpio -iv --to-stdout ./usr/share/xml/scap/ssg/content/ssg-rhel8-ds.xml \ > ssg-rhel-8.6-ds.xml
- データストリームを Satellite にアップロードします。詳細は、「追加の SCAP コンテンツのアップロード」 を参照してください。
関連情報
- Red Hat ナレッジベース の Supported versions of the SCAP Security Guide in RHEL
- Red Hat Enterprise Linux 9 セキュリティーの強化 の RHEL 9 で対応する SCAP セキュリティーガイドプロファイル
- Red Hat Enterprise Linux 8 セキュリティーの強化 の RHEL 8 で対応している SCAP セキュリティーガイドプロファイル
- Red Hat Enterprise Linux 7 セキュリティーガイド の RHEL 7 で対応する SCAP セキュリティーガイドプロファイル
9.6.3. 追加の SCAP コンテンツのアップロード
追加の SCAP コンテンツ (自分で作成したコンテンツ、または他の場所で取得したコンテンツ) を Satellite Server にアップロードできます。Red Hat は、Red Hat から取得した SCAP コンテンツのサポートのみを提供することに注意してください。Satellite Web UI の代わりに CLI を使用する場合は、CLI 手順 を参照してください。
前提条件
-
ユーザーアカウントに
create_scap_contents
権限がある。 - SCAP データストリームファイルを取得している。
手順
- Satellite Web UI で、Hosts > Compliance > SCAP contents に移動します。
- Upload New SCAP Content をクリックします。
-
Title テキストボックスにタイトルを入力します (
My SCAP Content
など)。 - Scap File で、Choose file をクリックし、SCAP データストリームファイルが含まれる場所に移動して、Open をクリックします。
- Locations タブで場所を選択します。
- Organizations タブで組織を選択します。
- Submit をクリックします。
SCAP コンテンツファイルが正常にロードされると、Successfully created My SCAP Content
のようなメッセージが表示されます。
CLI 手順
-
SCAP データストリームファイルを Satellite Server 上のディレクトリー (
/usr/share/xml/scap/my_content/
など) に配置します。 Satellite Server で次の Hammer コマンドを実行します。
# hammer scap-content bulk-upload --type directory \ --directory /usr/share/xml/scap/my_content/ \ --location "My_Location" \ --organization "My_Organization"
検証
- 利用可能な SCAP コンテンツをリスト表示 します。SCAP コンテンツのリストに新しいタイトルが含まれています。
9.6.4. XCCDF プロファイルの調整
元の SCAP コンテンツを編集せずに、テーラリングファイル を使用して既存の XCCDF プロファイルをカスタマイズできます。1 つのテーラリングファイルに複数の XCCDF プロファイルのカスタマイズを含めることができます。
テーラリングファイルは SCAP Workbench ツールを使用して作成できます。SCAP ワークベンチツールの使用方法の詳細は、Customizing SCAP Security Guide for your use case を参照してください。
作成したら、テーラリングファイルをコンプライアンスポリシーに割り当てて、ポリシー内の XCCDF プロファイルをカスタマイズできます。
9.6.5. テーラリングファイルのアップロード
テーラリングファイルをアップロードすると、それをコンプライアンスポリシーに適用して、XCCDF プロファイルをカスタマイズできます。
前提条件
-
ユーザーアカウントに
create_tailoring_files
権限がある。
手順
- Satellite の Web UI で Hosts > Compliance - Tailoring Files に移動し、New Tailoring File をクリックします。
- Name テキストボックスに、名前を入力します。
- Choose File をクリックし、テーラリングファイルが含まれる場所に移動して、Open を選択します。
- Submit をクリックして、選択したテーラリングファイルをアップロードします。