Red Hat Training
A Red Hat training course is available for Red Hat Satellite
5.2. インストール
5.2.1. OpenSCAP パッケージのインストール
手順5.1 OpenSCAP パッケージのインストール
OpenSCAP プラグインおよびコンテンツを Satellite Server およびすべての外部 Capsule Server にインストールします。
- Satellite Server では、OpenSCAP プラグインおよびコンテンツをインストールします。
# satellite-installer --enable-foreman-plugin-openscap
インストールが成功したかどうかは進行状況のインディケーターによって示され、Success!が表示されます。OpenSCAP プラグインは、Satellite web UI の ホスト メニューにある Compliance (コンプライアンス) セクションに追加され、以下のページが含まれます。- Policies (ポリシー)
- SCAP Contents (SCAP コンテンツ)
- レポート
# yum install puppet-foreman_scap_client
- すべての外部 Capsule Server で、OpenSCAP プラグインおよびコンテンツをインストールします。
注記
OpenSCAP 機能が Capsule Server で有効にされる場合、Puppet はそのサーバーですでに有効にされている必要があります。# satellite-installer --enable-foreman-proxy-plugin-openscap
インストールが成功したかどうかは進行状況のインディケーターによって示され、Success!が表示されます。これにより、OpenSCAP スキャンを実行するためのホストのセットアップに必要な Puppet クラスが提供され、自動化されたコンプライアンスのスキャン用に Cron ジョブが作成されます。 - Puppet マスターロールが設定された外部 Capsule Server では、OpenSCAP クライアントをインストールします。
# yum install puppet-foreman_scap_client
関連のある外部 Capsule Server を特定するには、Satellite web UI を開いてから、インフラストラクチャー → Capsules に移動してから 機能 列に一覧表示されている Puppet が設定された外部の Capsule Server を特定します。
5.2.2. デフォルト OpenSCAP コンテンツのロード
手順5.2 デフォルト OpenSCAP コンテンツのロード
- OpenSCAP コンテンツを Satellite Server にロードします。
# foreman-rake foreman_openscap:bulk_upload:default
5.2.3. OpenSCAP Puppet モジュールのインポート
手順5.3 OpenSCAP Puppet モジュールのインポート
- OpenSCAP には Puppet 環境が必要ですが、デフォルトではそれらは Puppet モジュールを含むコンテンツビュー用にのみ作成されます。利用可能な Puppet 環境を一覧表するには、Satellite web UI を開いた後に、設定 → 環境 に移動します。Puppet 環境がない場合は、Satellite Server で CLI セッションを開き、
本番用 Puppet 環境のディレクトリーを作成します。# mkdir -p /etc/puppet/environments/production/modules
- OpenSCAP コンテンツを選択した Puppet 環境にインポートします。OpenSCAP で監査されるそれぞれのホストは Puppet 環境に関連付けられる必要があります。
- Satellite web UI では、コンテキストメニューから 組織 および ロケーション を選択します。
- 設定 → 環境 に移動します。
- インポート をクリックしてから satellite.example.com からインポート をクリックします。
- OpenSCAP を使用して監査が実行されるホストに関連付けられたそれぞれの Puppet 環境について、チェックボックスを選択してから 更新 をクリックします。他の Puppet 環境が存在しない場合は 本番 環境を選択します。foreman_scap_client Puppet モジュールが選択した環境に追加されます。
- foreman_scap_client Puppet モジュールが追加されていることを確認します。設定 → 環境 に移動してから、Puppet 環境の列のある クラス をクリックします。この手順は、foreman_scap_client Puppet クラスが一覧表示されている場合に成功します。
5.2.4. 追加の SCAP コンテンツのアップロード
追加の SCAP コンテンツは、各自で作成したものか他から取得したものかを問わず、Satellite Server にアップロードできます。SCAP コンテンツは、ポリシーに適用される前に Satellite Server にインポートされる必要があります。たとえば、Red Hat Enterprise Linux 7.2 リポジトリーで利用可能な scap-security-guide RPM パッケージには、Payment Card Industry Data Security Standard (PCI-DSS) バージョン 3 のプロファイルが含まれます。このコンテンツは、オペレーティングシステムのバージョンに固有ではないため、Red Hat Enterprise Linux 7.2 を実行していない場合でも Satellite Server にアップロードできます。
手順5.4 追加の SCAP コンテンツのアップロード
- Satellite Server Web にログインします。
- ホスト → SCAP contents (SCAP コンテンツ) に移動して、新規 SCAP コンテンツをアップロード をクリックします。
- タイトル テキストボックスにタイトルを入力します。例:
RHEL 7.2 SCAP Content - Choose file (ファイルの選択) をクリックしてから、SCAP コンテンツが含まれるロケーションに移動し、Open (開く) を選択します。
- 送信 をクリックします。
SCAP コンテンツファイルが正常にロードされると、
Successfully created RHEL 7.2 SCAP Content (RHEL 7.2 SCAP コンテンツが正常に作成されました) と同様のメッセージが表示され、SCAP Contents (SCAP コンテンツ) の一覧に新規のタイトルが含まれます。