第16章 セキュリティ

OpenSSH chroot シェルのログイン

一般的に、各 Linux ユーザーは、SELinux ポリシーを使って SELinux ユーザーにマッピングされます。これにより、SELinux ユーザーに課された制限が Linux ユーザーに継承されます。 Linux ユーザーが SELinux unconfined_u ユーザーにマッピングされるデフォルトのマッピングがあります。
Red Hat Enterprise Linux 7 では、ユーザーを chroot する ChrootDirectory オプションを、拘束されていない (unconfined) ユーザーについて使用することができます。その際変更は一切必要ありません。ただし、staff_u, user_u、または guest_u などの拘束されている (confined) ユーザーの場合は、SELinux selinuxuser_use_ssh_chroot 変数を設定する必要があります。管理者が高度なセキュリティを実現するために ChrootDirectory オプションを使用する場合、chroot されたすべてのユーザーに対して guest_u ユーザーを使用することをお勧めします。

複数の必須の認証

Red Hat Enterprise Linux 7.0 は、AuthenticationMethods オプションを使用して、SSH プロトコルバージョン 2 で必要な複数の認証をサポートします。このオプションは、認証メソッドの名前の 1 つまたは複数のコンマで区切ったリストを一覧表示します。認証が完了するには、リストされているすべてのメソッドが問題なく完了する必要があります。これにより、例えば、パスワード認証が提供される前に、パブリックキーや GSSAPI を使用した認証をユーザーに要求することが可能になります。

GSS プロキシー

GSS プロキシーは、他のアプリケーションの代わりに GSS API Kerberos コンテキストを設定するシステムサービスです。これにはセキュリティ上のメリットがあります。例えば、システム keytab が複数のプロセス間で共有される状況下では、そのプロセスへの攻撃が成功すると、他のすべてのプロセスにおいて Kerberos の偽装が発展する可能性があります。

NSS の変更

nss パッケージは、アップストリームバージョン 3.15.2 にアップグレードされました。MD2 (Message-Digest algorithm 2)、MD4、および MD5 署名は、一般的な証明書の署名への対応と同様に、Online Certificate Status Protocol (OCSP) または CRL (certificate revocation lists) には使用できなくなりました。
AES-GCM (Advanced Encryption Standard Galois Counter Mode)、暗号スイート (RFC 5288 および RFC 5289) は、TLS 1.2 がネゴシエートされる際に使用されるように追加されました。特に、以下のスイートがサポートされるようになりました。
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP ワークベンチ

SCAP ワークベンチは、SCAP コンテンツのスキャン機能を提供する GUI のフロントエンドです。SCAP ワークベンチは、テクノロジープレビューとして Red Hat Enterprise Linux 7.0 に組み込まれています。
詳細情報は、アップストリームプロジェクトの Web サイトにあります。
https://fedorahosted.org/scap-workbench/

OSCAP Anaconda アドオン

Red Hat Enterprise Linux 7.0 は、テクノロジープレビューとして OSCAP Anaconda アドオンを導入しました。このアドオンは、OpenSCAP ユーティリティーをインストールプロセスに統合し、SCAP コンテンツによって与えられる制限に従ったシステムのインストールを可能にします。