Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第14章 セキュリティー
OpenSSH chroot シェルログイン
通常、各 Linux ユーザーは SELinux ポリシーを使用して SELinux ユーザーにマップされ、Linux ユーザーは SELinux ユーザーに課された制限を継承できます。Linux ユーザーが SELinux unconfined_u ユーザーにマップされるデフォルトのマッピングがあります。
Red Hat Enterprise Linux 7 では、ユーザーを chroot するための
ChrootDirectory
オプションを制限のないユーザーに変更なしで使用できますが、staff_u、user_u、または guest_u などの制限のあるユーザーの場合は、SELinux の selinuxuser_use_ssh_chroot
変数を設定する必要があります。ChrootDirectory
オプションを使用してより高いセキュリティーを実現する場合、管理者はすべての chroot ユーザーに対して guest_u ユーザーを使用することをお勧めします。
OpenSSH - 複数の必要な認証
Red Hat Enterprise Linux 7 は、
AuthenticationMethods
オプションを使用して、SSH プロトコルバージョン 2 で必要な複数の認証をサポートします。このオプションは、認証方式名のコンマ区切りのリストを 1 つ以上リストします。認証を完了するには、リスト内のすべてのメソッドを正常に完了する必要があります。これにより、たとえば、ユーザーにパスワード認証を提供する前に、公開鍵または GSSAPI を使用して認証する必要があるようにすることができます。
GSS-Proxy
GSS Proxy は、他のアプリケーションに代わって GSS API Kerberos コンテキストを確立するシステムサービスです。これにより、セキュリティー上の利点がもたらされます。たとえば、システムキータブへのアクセスが異なるプロセス間で共有されている場合、そのプロセスに対する攻撃が成功すると、他のすべてのプロセスの Kerberos 偽装につながります。
NSS の変更点
git パッケージがアップストリームバージョン 2.27 にアップグレードされました。Message-Digest Algorithm 2 (MD2)、MD4、および MD5 署名は、オンライン証明書ステータスプロトコル (OCSP) または証明書失効リスト (CRL) に対して受け入れられなくなりました。これは、一般的な証明書署名の処理と一致しています。
Advanced Encryption Standard Galois Counter Mode (AES-GCM) Cipher Suite (RFC 5288 および RFC 5289) が追加され、TLS 1.2 のネゴシエーション時に使用できるようになりました。具体的には、次の暗号スイートがサポートされるようになりました。
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256;
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256;
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256;
- TLS_RSA_WITH_AES_128_GCM_SHA256.
新しいブール名
いくつかの SELinux ブール名が、よりドメイン固有になるように変更されました。古い名前は引き続き使用できますが、新しい名前のみがブール値のリストに表示されます。
古いブール名とそれぞれの新しい名前は、
/etc/selinux/<policy_type>/booleans.subs_dist
ファイルから入手できます。
scap-workbench
SCAP Workbench は、SCAP コンテンツのスキャン機能を提供する GUI フロントエンドです。SCAP Workbench は、Red Hat Enterprise Linux 7 にテクノロジープレビューとして含まれています。
アップストリームプロジェクトの Web サイトで詳細情報を確認できます。
OSCAP Anaconda Add-on
Red Hat Enterprise Linux 7 では、テクノロジープレビューとして OSCAP Anaconda アドオンが導入されています。このアドオンは、OpenSCAP ユーティリティーをインストールプロセスと統合し、SCAP コンテンツによって与えられた制限に従ってシステムをインストールできるようにします。