第14章 セキュリティ

SCAP セキュリティガイド

Red Hat Enterprise Linux 7.1 に scap-security-guide パッケージが収納され安全性に関するガイダンス、安全基準、安全性に関する検証メカニズムなどの説明が提供されています。安全性を強化する多数の実践的なアドバイスから構成されるガイダンスは Security Content Automation Protocol (SCAP) 内をご覧ください。SCAP Security Guide には規定の安全方針要件に関するシステム安全準拠のスキャンを実施するにあたって必要なデータが含まれています (書面による詳細と自動テスト (プローブ) の両方が含まれる)。SCAP Security Guide では、テストの自動化により便利なだけではなく信頼できるシステム準拠の定期的な確認方法を提供しています。
Red Hat Enterprise Linux 7.1 バージョンの SCAP セキュリティガイド には Red Hat Corporate Profile for Certified Cloud Providers (RH CCP) に関する記載が含まれ、Red Hat Enterprise Linux Server 7.1 クラウドシステムの安全準拠スキャンに利用することができます。
Red Hat Enterprise Linux 7.1 scap-security-guide パッケージには Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 用のデータストリームコンテンツ形式のファイル SCAP が収納されています。このためいずれの製品に対してもリモートによる安全準拠スキャンを行うことができます。
Red Hat Enterprise Linux 7.1 を管理する場合、openscap-scanner パッケージの oscap コマンドラインツールを使用してシステムが該当ガイドラインに準拠しているか確認することができます。詳細は scap-security-guide(8) man ページを参照してください。

SELinux ポリシー

Red Hat Enterprise Linux 7.1 では SELinux ポリシーが修正されています。これまで独自の SELinux ポリシーを持たず init_t ドメインで実行されていたサービスは新たに追加された unconfined_service_t ドメインで実行されるようになります。詳細は Red Hat Enterprise Linux 7.1 の SELinux User's and Administrator's Guide 内の Unconfined Processes の章を参照してください。

OpenSSH の新機能

OpenSSH ツールセットがバージョン 6.6.1p1 に更新され、暗号に関連する新機能がいくつか追加されています。
  • Daniel Bernstein Curve25519 の elliptic-curve Diffie-Hellman を使うキー交換に対応するようになります。このメソッドはデフォルトで与えられ、サーバーおよびクライアントの両方で対応します。
  • Ed25519 elliptic-curve 署名スキームをパブリックキータイプとして使用するためのサポートが追加されています。ユーザーキー、ホストキーの両方に使用できる Ed25519 では ECDSADSA より高い安全性とパフォーマンスを提供します。
  • bcrypt キー誘導機能 (KDF) を使用する新しいプライベートキーフォーマットが追加されています。 Ed25519 にはこのフォーマットがデフォルトで使用されますが、別のキータイプを要求することも可能です。
  • 新しい転送暗号 chacha20-poly1305@openssh.com が追加されています。これにより Daniel Bernstein ChaCha20 ストリーム暗号と Poly1305 メッセージ暗証コード (MAC) が結合されます。

Libreswan の新機能

IPsec VPNLibreswan 実装が新機能や機能強化が追加されたバージョン 3.12 に更新されています。
  • 新しい暗号が追加されています。
  • IKEv2 のサポートが改善されています。
  • 中間的証明書チェーンのサポートが IKEv1IKEv2 に追加されています。
  • 接続処理機能に改善が施されています。
  • OpenBSD、Cisco、Android などのシステムとの相互運用性が改善されています。
  • systemd のサポートが改善されています。
  • ハッシュ化された CERTREQ およびトラフィック統計用のサポートが追加されています。

TNC の新機能

strongimcv パッケージで提供される Trusted Network Connect (TNC) アーキテクチャーが更新され strongSwan 5.2.0 をベースとするようになります。TNC には次のような新機能および機能強化が追加されています。
  • Trusted Network Connect 用 PT-EAP 転送プロトコル (RFC 7171) が追加されています。
  • Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) の組み合わせで IMA-NG 測定フォーマットに対応するようになります。
  • 新しい TPMRA ワークアイテムの実装により Attestation IMV のサポートが改善されています。
  • SWID IMV 搭載の JSON ベースの REST API にサポートが追加されています。
  • SWID IMC では swidGenerator を使って dpkgrpmpacman などのパッケージマネージャーからインストール済みの全パッケージを抽出し、ISO/IEC 19770-2:2014 新標準にしたがって SWID タグを生成することができます。
  • EAP-(T)TLS および他のプロトコルで使用されている libtls TLS 1.2 実装が AEAD モードのサポートにより拡張されています。現在は AES-GCM に制限されています。
  • IMV サポートが改善され一般的な imv_session オブジェクトでアクセスリクエスター ID、デバイス ID、アクセスリクエスターの製品情報 などが共有できるようになります。
  • 既存の IF-TNCCS (PB-TNCIF-M (PA-TNC)) プロトコルおよび OS IMC/IMV の組み合わせでバグ修正が行われています。

GnuTLS の新機能

SSLTLSDTLS プロトコルの GnuTLS 実装がバージョン 3.3.8 に更新され、新機能や機能強化が追加されています。
  • DTLS 1.2 のサポートが追加されています。
  • Application Layer Protocol Negotiation (ALPN) のサポートが追加されています。
  • elliptic-curve 暗号スィートのパフォーマンスが向上されています。
  • 新しい暗号スィート RSA-PSKCAMELLIA-GCM が追加されています。
  • Trusted Platform Module (TPM) 標準のネイティブサポートが追加されています。
  • PKCS#11 スマートカードおよび hardware security modules (HSM) のサポートがいくつかの点で改善されています。
  • FIPS 140 安全標準 (Federal Information Processing Standards) への準拠がいくつかの点で改善されています。