第14章 セキュリティー

通常、各 Linux ユーザーは SELinux ポリシーを使用して SELinux ユーザーにマップされ、Linux ユーザーは SELinux ユーザーに課された制限を継承できます。Linux ユーザーが SELinux unconfined_u ユーザーにマップされるデフォルトのマッピングがあります。

Red Hat Enterprise Linux 7 では、ユーザーを chroot するための ChrootDirectory オプションを制限のないユーザーに変更なしで使用できますが、staff_u、user_u、または guest_u などの制限のあるユーザーの場合は、SELinux の selinuxuser_use_ssh_chroot 変数を設定する必要があります。ChrootDirectory オプションを使用してより高いセキュリティーを実現する場合、管理者はすべての chroot ユーザーに対して guest_u ユーザーを使用することをお勧めします。

Red Hat Enterprise Linux 7 は、AuthenticationMethods オプションを使用して、SSH プロトコルバージョン 2 で必要な複数の認証をサポートします。このオプションは、認証方式名のコンマ区切りのリストを 1 つ以上リストします。認証を完了するには、リスト内のすべてのメソッドを正常に完了する必要があります。これにより、たとえば、ユーザーにパスワード認証を提供する前に、公開鍵または GSSAPI を使用して認証する必要があるようにすることができます。

GSS Proxy は、他のアプリケーションに代わって GSS API Kerberos コンテキストを確立するシステムサービスです。これにより、セキュリティー上の利点がもたらされます。たとえば、システムキータブへのアクセスが異なるプロセス間で共有されている場合、そのプロセスに対する攻撃が成功すると、他のすべてのプロセスの Kerberos 偽装につながります。

git パッケージがアップストリームバージョン 2.27 にアップグレードされました。Message-Digest Algorithm 2 (MD2)、MD4、および MD5 署名は、オンライン証明書ステータスプロトコル (OCSP) または証明書失効リスト (CRL) に対して受け入れられなくなりました。これは、一般的な証明書署名の処理と一致しています。

Advanced Encryption Standard Galois Counter Mode (AES-GCM) Cipher Suite (RFC 5288 および RFC 5289) が追加され、TLS 1.2 のネゴシエーション時に使用できるようになりました。具体的には、次の暗号スイートがサポートされるようになりました。

いくつかの SELinux ブール名が、よりドメイン固有になるように変更されました。古い名前は引き続き使用できますが、新しい名前のみがブール値のリストに表示されます。

古いブール名とそれぞれの新しい名前は、/etc/selinux/<policy_type>/booleans.subs_dist ファイルから入手できます。

SCAP Workbench は、SCAP コンテンツのスキャン機能を提供する GUI フロントエンドです。SCAP Workbench は、Red Hat Enterprise Linux 7 にテクノロジープレビューとして含まれています。

アップストリームプロジェクトの Web サイトで詳細情報を確認できます。

https://fedorahosted.org/scap-workbench/

Red Hat Enterprise Linux 7 では、テクノロジープレビューとして OSCAP Anaconda アドオンが導入されています。このアドオンは、OpenSCAP ユーティリティーをインストールプロセスと統合し、SCAP コンテンツによって与えられた制限に従ってシステムをインストールできるようにします。