Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第14章 セキュリティー
SCAP セキュリティーガイド
scap-security-guide パッケージが Red Hat Enterprise Linux 7.1 に含まれており、セキュリティーガイダンス、ベースライン、および関連する検証メカニズムを提供します。このガイダンスは、実用的な強化アドバイスのカタログで設定される Security Content Automation Protocol (SCAP)で指定されています。SCAP セキュリティーガイド には、規定されたセキュリティーポリシー要件に関するシステムセキュリティーコンプライアンススキャンを実行するために必要なデータが含まれています。書き込まれた説明と自動テスト(probe)の両方が含まれます。テストを自動化することで、SCAP セキュリティーガイドは、システムコンプライアンスを定期的に検証するための便利で信頼性の高い方法を提供します。
Red Hat Enterprise Linux 7.1 バージョンの SCAP セキュリティーガイド には、Red Hat Enterprise Linux Server 7.1 クラウドシステムのコンプライアンススキャンに使用できる Red Hat Corporate Profile for Certified Cloud Providers (RH CCP) が含まれています。
また、Red Hat Enterprise Linux 7.1 scap-security-guide パッケージには、Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 の SCAP データストリームコンテンツ形式ファイルが含まれます。これにより、これらの両方の製品のリモートコンプライアンススキャンが可能になります。
Red Hat Enterprise Linux 7.1 システム管理者は、openscap-scanner パッケージの oscap コマンドラインツールを使用して、システムが指定したガイドラインに準拠していることを確認できます。詳細は、scap-security-guide(8) の man ページを参照してください。
SELinux ポリシー
Red Hat Enterprise Linux 7.1 では、SELinux ポリシーが変更されました。
init_t
ドメインで以前に実行した独自の SELinux ポリシーのないサービスは、新たに追加された unconfined_service_t
ドメインで実行されるようになりました。Red Hat Enterprise Linux 7.1 の SELinux User's and Administrator's Guide の Unconfined Processes の章を参照してください。
OpenSSH の新機能
OpenSSH のツールセットがバージョン 6.6.1p1 に更新され、暗号化に関連する新機能がいくつか追加されました。
- Daniel Bernstein の
Curve25519
の elliptic-curveDiffie-Hellman
を使用した鍵交換がサポートされるようになりました。この方法は、サーバーとクライアントの両方がこれをサポートするようになりました。 Ed25519
elliptic-curve 署名スキームを公開鍵タイプとして使用するためのサポートが追加されました。ユーザーキーとホスト鍵の両方に使用できるEd25519
は、ECDSA
およびDSA
よりも優れたセキュリティーと、優れたパフォーマンスを提供します。bcrypt
鍵導出関数(KDF)を使用する新しい秘密鍵形式が追加されました。デフォルトでは、この形式はEd25519
キーに使用されますが、他のタイプのキーに対しても要求される可能性があります。- 新しいトランスポート暗号
chacha20-poly1305@openssh.com
が追加されました。Daniel Bernstein のChaCha20
ストリーム暗号とPoly1305
メッセージ認証コード(MAC)を組み合わせたものです。
Libreswan の新機能
IPsec VPN の Libreswan 実装がバージョン 3.12 に更新され、新機能および改善が複数追加されました。
- 新しい暗号が追加されました。
IKEv2
への対応が改善されました。IKEv1
およびIKEv2
に中間証明書チェーンのサポートが追加されました。- 接続処理が改善されました。
- OpenBSD、Cisco、および Android のシステムで相互運用性が改善されました。
- systemd への対応が改善されました。
- ハッシュされた
CERTREQ
およびトラフィック統計のサポートが追加されました。
TNC の新機能
strongimcv パッケージが提供するTNC(TNC)アーキテクチャーが更新され、stronged Swan 5.2.0 をベースにしています。以下の新機能および改善が TNC に追加されました。
- Trusted Network Connect の
PT-EAP
トランスポートプロトコル(RFC 7171)が追加されました。 - Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV)ペアが IMA-NG 測定形式をサポートするようになりました。
- 新しい TPMRA ワークアイテムを実装することで、Attestation IMV サポートが改善されました。
- SWID IMV を使用する JSON ベースの REST API のサポートが追加されました。
- SWID IMC は、swidGenerator を使用して dpkg、rpm、または pacman パッケージマネージャーからインストールされたパッケージをすべて抽出できるようになりました。これにより、新しい ISO/IEC 19770-2:2014 標準に従って SWID タグが生成されます。
EAP (T)
.2 の実装は、AEAD モードサポートにより拡張され、現在TLS およびその他のプロトコルで使用される
1libtls
TLSAES-GCM
に制限されます。- 共通の
imv_session
オブジェクトを介してアクセスリクエスター ID、デバイス ID、および製品情報を共有するための(IMV)サポートが改善されました。 - 既存の
IF-TNCCS
(PB-TNC
)プロトコル、IF-M
(PA-TNC
)プロトコル、およびOS IMC/IMV
ペアでいくつかのバグが修正されました。
GnuTLS の新機能
SSL
、TLS
、および DTLS
プロトコルの GnuTLS 実装がバージョン 3.3.8 に更新され、新機能および改善が数多く追加されました。
DTLS 1.2
のサポートが追加されました。- Application Layer Protocol Negotiation (ALPN)のサポートが追加されました。
- elliptic-curve 暗号化スイートのパフォーマンスが改善されました。
- 新しい暗号スイート
RSA-PSK
およびCAMELLIA-GCM
が追加されました。 - Trusted Platform Module (TPM)標準のネイティブサポートが追加されました。
PKCS#11
スマートカードおよび ハードウェアセキュリティーモジュール (HSM)のサポートが複数の方法で改善されました。- FIPS 140 セキュリティー標準(Federal Information Processing Standards)への準拠が複数の方法で改善されました。