第14章 セキュリティ

SCAP セキュリティガイド

Red Hat Enterprise Linux 7.1 に scap-security-guide パッケージが収納され安全性に関するガイダンス、安全基準、安全性に関する検証メカニズムなどの説明が提供されています。安全性を強化する多数の実践的なアドバイスから構成されるガイダンスは Security Content Automation Protocol (SCAP) 内をご覧ください。SCAP Security Guide には規定の安全方針要件に関するシステム安全準拠のスキャンを実施するにあたって必要なデータが含まれています (書面による詳細と自動テスト (プローブ) の両方が含まれる)。SCAP Security Guide では、テストの自動化により便利なだけではなく信頼できるシステム準拠の定期的な確認方法を提供しています。
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

SELinux ポリシー

Red Hat Enterprise Linux 7.1 では SELinux ポリシーが修正されています。これまで独自の SELinux ポリシーを持たず init_t ドメインで実行されていたサービスは新たに追加された unconfined_service_t ドメインで実行されるようになります。詳細は Red Hat Enterprise Linux 7.1 の SELinux User's and Administrator's Guide 内の Unconfined Processes の章を参照してください。

OpenSSH の新機能

OpenSSH ツールセットがバージョン 6.6.1p1 に更新され、暗号に関連する新機能がいくつか追加されています。
  • Daniel Bernstein Curve25519 の elliptic-curve Diffie-Hellman を使うキー交換に対応するようになります。このメソッドはデフォルトで与えられ、サーバーおよびクライアントの両方で対応します。
  • Ed25519 elliptic-curve 署名スキームをパブリックキータイプとして使用するためのサポートが追加されています。ユーザーキー、ホストキーの両方に使用できる Ed25519 では ECDSADSA より高い安全性とパフォーマンスを提供します。
  • bcrypt キー誘導機能 (KDF) を使用する新しいプライベートキーフォーマットが追加されています。 Ed25519 にはこのフォーマットがデフォルトで使用されますが、別のキータイプを要求することも可能です。
  • 新しい転送暗号 chacha20-poly1305@openssh.com が追加されています。これにより Daniel Bernstein ChaCha20 ストリーム暗号と Poly1305 メッセージ暗証コード (MAC) が結合されます。

Libreswan の新機能

IPsec VPNLibreswan 実装が新機能や機能強化が追加されたバージョン 3.12 に更新されています。
  • 新しい暗号が追加されています。
  • IKEv2 support has been improved.
  • 中間的証明書チェーンのサポートが IKEv1IKEv2 に追加されています。
  • 接続処理機能に改善が施されています。
  • OpenBSD、Cisco、Android などのシステムとの相互運用性が改善されています。
  • systemd のサポートが改善されています。
  • ハッシュ化された CERTREQ およびトラフィック統計用のサポートが追加されています。

TNC の新機能

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • 新しい TPMRA ワークアイテムの実装により Attestation IMV のサポートが改善されています。
  • SWID IMV 搭載の JSON ベースの REST API にサポートが追加されています。
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • 既存の IF-TNCCS (PB-TNCIF-M (PA-TNC)) プロトコルおよび OS IMC/IMV の組み合わせでバグ修正が行われています。

GnuTLS の新機能

SSLTLSDTLS プロトコルの GnuTLS 実装がバージョン 3.3.8 に更新され、新機能や機能強化が追加されています。
  • DTLS 1.2 のサポートが追加されています。
  • Application Layer Protocol Negotiation (ALPN) のサポートが追加されています。
  • elliptic-curve 暗号スィートのパフォーマンスが向上されています。
  • 新しい暗号スィート RSA-PSKCAMELLIA-GCM が追加されています。
  • Trusted Platform Module (TPM) 標準のネイティブサポートが追加されています。
  • PKCS#11 スマートカードおよび hardware security modules (HSM) のサポートがいくつかの点で改善されています。
  • FIPS 140 安全標準 (Federal Information Processing Standards) への準拠がいくつかの点で改善されています。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。