Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第14章 セキュリティー

SCAP セキュリティーガイド

scap-security-guide パッケージが Red Hat Enterprise Linux 7.1 に含まれており、セキュリティーガイダンス、ベースライン、および関連する検証メカニズムを提供します。このガイダンスは、実用的な強化アドバイスのカタログで設定される Security Content Automation Protocol (SCAP)で指定されています。SCAP セキュリティーガイド には、規定されたセキュリティーポリシー要件に関するシステムセキュリティーコンプライアンススキャンを実行するために必要なデータが含まれています。書き込まれた説明と自動テスト(probe)の両方が含まれます。テストを自動化することで、SCAP セキュリティーガイドは、システムコンプライアンスを定期的に検証するための便利で信頼性の高い方法を提供します。
Red Hat Enterprise Linux 7.1 バージョンの SCAP セキュリティーガイド には、Red Hat Enterprise Linux Server 7.1 クラウドシステムのコンプライアンススキャンに使用できる Red Hat Corporate Profile for Certified Cloud Providers (RH CCP) が含まれています。
また、Red Hat Enterprise Linux 7.1 scap-security-guide パッケージには、Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 の SCAP データストリームコンテンツ形式ファイルが含まれます。これにより、これらの両方の製品のリモートコンプライアンススキャンが可能になります。
Red Hat Enterprise Linux 7.1 システム管理者は、openscap-scanner パッケージの oscap コマンドラインツールを使用して、システムが指定したガイドラインに準拠していることを確認できます。詳細は、scap-security-guide(8) の man ページを参照してください。

SELinux ポリシー

Red Hat Enterprise Linux 7.1 では、SELinux ポリシーが変更されました。init_t ドメインで以前に実行した独自の SELinux ポリシーのないサービスは、新たに追加された unconfined_service_t ドメインで実行されるようになりました。Red Hat Enterprise Linux 7.1 の SELinux User's and Administrator's GuideUnconfined Processes の章を参照してください。

OpenSSH の新機能

OpenSSH のツールセットがバージョン 6.6.1p1 に更新され、暗号化に関連する新機能がいくつか追加されました。
  • Daniel Bernstein の Curve25519 の elliptic-curve Diffie-Hellman を使用した鍵交換がサポートされるようになりました。この方法は、サーバーとクライアントの両方がこれをサポートするようになりました。
  • Ed25519 elliptic-curve 署名スキームを公開鍵タイプとして使用するためのサポートが追加されました。ユーザーキーとホスト鍵の両方に使用できる Ed25519 は、ECDSA および DSA よりも優れたセキュリティーと、優れたパフォーマンスを提供します。
  • bcrypt 鍵導出関数(KDF)を使用する新しい秘密鍵形式が追加されました。デフォルトでは、この形式は Ed25519 キーに使用されますが、他のタイプのキーに対しても要求される可能性があります。
  • 新しいトランスポート暗号 chacha20-poly1305@openssh.com が追加されました。Daniel Bernstein の ChaCha20 ストリーム暗号と Poly1305 メッセージ認証コード(MAC)を組み合わせたものです。

Libreswan の新機能

IPsec VPNLibreswan 実装がバージョン 3.12 に更新され、新機能および改善が複数追加されました。
  • 新しい暗号が追加されました。
  • IKEv2 への対応が改善されました。
  • IKEv1 および IKEv2 に中間証明書チェーンのサポートが追加されました。
  • 接続処理が改善されました。
  • OpenBSD、Cisco、および Android のシステムで相互運用性が改善されました。
  • systemd への対応が改善されました。
  • ハッシュされた CERTREQ およびトラフィック統計のサポートが追加されました。

TNC の新機能

strongimcv パッケージが提供するTNC(TNC)アーキテクチャーが更新され、stronged Swan 5.2.0 をベースにしています。以下の新機能および改善が TNC に追加されました。
  • Trusted Network Connect の PT-EAP トランスポートプロトコル(RFC 7171)が追加されました。
  • Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV)ペアが IMA-NG 測定形式をサポートするようになりました。
  • 新しい TPMRA ワークアイテムを実装することで、Attestation IMV サポートが改善されました。
  • SWID IMV を使用する JSON ベースの REST API のサポートが追加されました。
  • SWID IMC は、swidGenerator を使用して dpkgrpm、または pacman パッケージマネージャーからインストールされたパッケージをすべて抽出できるようになりました。これにより、新しい ISO/IEC 19770-2:2014 標準に従って SWID タグが生成されます。
  • EAP (T) TLS およびその他のプロトコルで使用される libtls TLS 1.2 の実装は、AEAD モードサポートにより拡張され、現在 AES-GCM に制限されます。
  • 共通の imv_session オブジェクトを介してアクセスリクエスター ID、デバイス ID、および製品情報を共有するための(IMV)サポートが改善されました。
  • 既存の IF-TNCCS (PB-TNC )プロトコル、IF-M (PA-TNC)プロトコル、および OS IMC/IMV ペアでいくつかのバグが修正されました。

GnuTLS の新機能

SSLTLS、および DTLS プロトコルの GnuTLS 実装がバージョン 3.3.8 に更新され、新機能および改善が数多く追加されました。
  • DTLS 1.2 のサポートが追加されました。
  • Application Layer Protocol Negotiation (ALPN)のサポートが追加されました。
  • elliptic-curve 暗号化スイートのパフォーマンスが改善されました。
  • 新しい暗号スイート RSA-PSK および CAMELLIA-GCM が追加されました。
  • Trusted Platform Module (TPM)標準のネイティブサポートが追加されました。
  • PKCS#11 スマートカードおよび ハードウェアセキュリティーモジュール (HSM)のサポートが複数の方法で改善されました。
  • FIPS 140 セキュリティー標準(Federal Information Processing Standards)への準拠が複数の方法で改善されました。