第59章 セキュリティー

Red Hat Enterprise Linux 6 の scap-security-guide サンプルキックスタートファイルの使用は非推奨

Red Hat Enterprise Linux 7 の scap-security-guide パッケージに含まれる Red Hat Enterprise Linux 6 のサンプルキックファイルは、最新バージョンの scap-security-guide パッケージをアップストリームリポジトリーから直接インストールします。つまりこれは、このバージョンは Red Hat Quality Engineering チームによって検査されていないことを意味します。この問題を回避するには、現行の Red Hat Enterprise Linux 6 リリースに含まれる scap-security-guide パッケージの修正された Red Hat Enterprise Linux 6 サンプルファイルを使用するか、またはキックスタートファイルの %post セクションを手動で変更します。Red Hat Enterprise Linux 7 のサンプルキックスタートファイルはこの問題の影響を受けないことに注意してください (BZ#1378489)。

openscap パッケージは atomic を依存関係としてインストールしない

OpenSCAP スイートは SCAP (Security Content Automation Protocol) 標準の統合を可能にします。現行バージョンでは、atomic scan および oscap-docker コマンドを使用してコンテナーをスキャンする機能を追加しています。ただし、openscapopenscap-utils、および openscap-scanner パッケージのみをインストールする場合、atomic パッケージはデフォルトでインストールされません。そのため、いずれのコンテナースキャンコマンドもエラーメッセージを出して失敗します。この問題を回避するには、root で yum install atomic コマンドを実行して atomic パッケージをインストールします (BZ#1356547)。

CIL には個別のモジュールステートメントがない

新規の SELinux ユーザースペースではモジュールストアの SELinux Common Intermediate Language (CIL) を使用します。CIL はファイルをモジュールとして処理しますが、個別のモジュールステートメントを持たないため、モジュールの名前はファイル名に基づいて付けられます。そのため、ポリシーモジュールの名前がそのベースファイル名と同じではなく、 semodule -l コマンドがモジュールバージョンを表示しない場合に混乱が生じる可能性があります。さらに、semodule -l は無効にされたモジュールを表示しません。この問題を回避するには、semodule --l=full コマンドを使用してすべてのモジュールを一覧表示します (BZ#1345825)。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。