Show Table of Contents
新たな
第15章 セキュリティー
SELinux ユーザースペースパッケージがバージョン 2.5 にリベース
SELinux ユーザースペースパッケージがアップストリームバージョン 2.5 にアップグレードされ、多数の修正、機能拡張およびパフォーマンス改善が図られています。SELinux ユーザースペース 2.5 での主な新機能は以下の通りです。
- 新規 SELinux モジュールストアが優先度をサポートします。優先度の概念により、システムモジュールをより高い優先度のモジュールで上書きできます。
- SELinux 共通中間言語 (CIL) は、読み込みおよび解析が容易で、高レベルコンパイラーや分析ツール、およびポリシー生成ツールによる生成も容易な、明確でシンプルな構文を提供します。
- ポリシーのインストールや新規ポリシーモジュールの読み込みといった時間のかかる SELinux 操作が格段に速くなっています。
注記: SELinux モジュールのデフォルトの場所は Red Hat Enterprise Linux 7 の
/etc/selinux/ ディレクトリーのままですが、アップストリームバージョンでは /var/lib/selinux/ を使用しています。移行のためにこの場所を変更する場合は、/etc/selinux/semanage.conf ファイルで store-root= オプションを設定します (BZ#1297815)。
scap-workbench がバージョン 1.1.2 にリベース
scap-workbench パッケージがバージョン 1.1.2 にリベースされました。このパッケージは、新たな SCAP Security Guide 統合ダイアログを提供します。これにより、管理者はスキャンする必要のあるコンテンツファイルではなく、製品を選択できるようになります。また新バージョンでは、調整されたウィンドウ内におけるルール検索の改善や、GUI を使った SCAP コンテンツでのリモートリソースのフェッチの可能性、およびドライラン機能など、多くのパフォーマンスやユーザー体験の改善が図られています。ドライラン機能を使用すると、ユーザーはスキャンを実行する代わりに、診断ウィンドウへの oscap コマンドライン引数を使用できます (BZ#1202854)。
openscap がバージョン 1.2.10 にリベース
OpenSCAP スイートは Security Content Automation Protocol (SCAP) 標準の統合を可能にするもので、これが最新アップストリームバージョン 1.2.10 にリベースされました。openscap パッケージは OpenSCAP ライブラリーと
oscap ユーティリティーを提供します。今回の更新では特に、atomic scan コマンドを使用したコンテナのスキャンがサポートされています。また、以下のような機能拡張がなされています。
oscap-vm: 仮想マシンのオフラインスキャンのツールoscap-chroot: 任意のパスにマウントされたファイルシステムのオフラインスキャンのツール- Open Vulnerability and Assessment Language (OVAL) 5.11.1 の完全サポート
- リモート .xml.bz2 ファイルのネイティブサポート
- 各種基準による HTML レポート結果のグループ化
- HTML レポートの改善
- OVAL 評価のデバッグにおける冗長モード (BZ#1278147)
firewalld がバージョン 0.4.3.2 にリベース
firewalld パッケージがアップストリームバージョン 0.4.3.2 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更は以下の通りです。
- パフォーマンスの改善: 同時に適用されるルールをグループ化する新たなトランザクションモデルにより、
firewalldの起動と再起動が大幅に速くなっています。このモデルはiptables復元コマンドを使用します。また、firewall-cmd、firewall-offline-cmd、firewall-config、およびfirewall-appletツールもパフォーマンスを考慮して改善されています。 - 接続、インターフェース、およびソースの管理改善:
NetworkManagerを使用して、接続のゾーン設定管理ができるようになっています。また、インターフェースのゾーン設定もfirewalldとifcfgファイルで管理されます。 - デフォルトのロギングオプション: 新たな
LogDenied設定を使用すると、拒否されたパケットを簡単にデバッグ、ログすることができます。 ipsetサポート:firewalldが、リッチルールとダイレクトルール内で複数の IP セットをゾーンソースとしてサポートするようになりました。Red Hat Enterprise Linux 7.3 では、firewalldは以下のipsetタイプのみをサポートすることに注意してください。- hash:net
- hash:ip (BZ#1302802)
audit がバージョン 2.6.5 にリベース
audit パッケージには、Linux カーネルの監査サブシステムで生成された監査レコードを保存、検索するユーザースペースユーティリティーが含まれています。この audit パッケージにがアップストリームバージョン 2.6.5 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更は以下の通りです。
auditデーモンにincremental_asyncと呼ばれる新たなフラッシュ技術が含まれています。これによりこのパフォーマンスが約 90 倍改善します。auditポリシーの作成に使用可能な多くのルールがauditシステムに含まれています。新規ルールの中には、Security Technical Implementation Guide (STIG) や PCI Data Security Standard のサポート、また 32 ビット syscall の発生、権限の濫用、モジュール読み込みの監査など他の機能をサポートするものもあります。auditd.conf設定ファイルとauditctlコマンドで多くの新オプションに対応しています。auditシステムでenrichedと呼ばれる新たなログ形式に対応しています。これは、UID、GID、syscall、アーキテクチャー、およびネットワークアドレスを解決するものです。これは、ログの生成場所とは別のマシン上でのログ分析に役立ちます (BZ#1296204)。
MACsec (IEEE 802.1AE) をサポート
今回の更新では、イーサネットでの Media Access Control Security (MACsec) 暗号化がサポートされています。MACsec は、GCM-AES-128 アルゴリズムを使って LAN の全トラフィックを暗号化、認証します (BZ#1104151)。
rsyslog RELP モジュールが特定のルールセットにバインド
今回の更新では、rsyslog Reliable Event-Logging Protocol (RELP) モジュールが各入力インスタンスで特定のルールセットにバインドできるようになっています。
input() インスタンスのルールセットは、module() ルールセットよりも優先度が高くなっています (BZ#1223566)。
rsyslog imfile モジュールがワイルドカードファイル名をサポート
rsyslog パッケージは機能拡張されたマルチスレッドの syslog デーモンを提供します。今回の更新で rsyslog imfile モジュールは、ワイルドカード内部ファイル名の使用と、メッセージのメタデータに実際のファイル名を追加することをサポートしています。これは、rsyslog があるディレクトリー下にあるログの読み込みが必要で、ファイル名が前もって分からない場合に便利です (BZ#1303617)。
audit.log 内の Syscalls がテキストに変換
今回の更新では、
audispd イベントマルチプレクサーでシステムコール番号を syslog デーモンに転送する前に、auditd がシステムコール番号をその名前に変換するようになっています (BZ#1127343)。
audit サブシステムでプロセス名によるフィルタリングが可能
ユーザーは実行可能ファイル名 (
-F exe=<path-to-executable> オプションを使用) で監査ができるようになり、これにより、新規監査ルールの多様な表現が可能になりました。この機能を使うと、bash shell によるネットワーク接続の開始などのイベントが検出できます (BZ#1135562)。
mod_security_crs がバージョン 2.2.9 にリベース
mod_security_crs パッケージがアップストリームバージョン 2.2.9 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
- 新規 PHP ルール (958977) が PHP エクスプロイトを検出。
JS overridesファイルが成功した XSS プローブを特定。- 新規 XSS 検出ルール。
- セッションハイジャックルールの修正 (BZ#1150614)。
opencryptoki がバージョン 3.5 にリベース
opencryptoki パッケージがアップストリームバージョン 3.5 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。
主な変更点は以下の通りです。
openCryptokiサービスは、lock/およびlog/ディレクトリーが存在しない場合は、これらを自動的に作成します。PKCS#11API が、全トークンで SHA ハッシュのあるハッシュベースのメッセージ認証コード (HMAC) に対応しています。openCryptokiライブラリーが、OPENCRYPTOKI_TRACE_LEVEL環境変数で設定された動的追跡を提供します (BZ#1185421)。
gnutls が中央証明書ストアを使用
gnutls パッケージは GNU Transport Layer Security (GnuTLS) ライブラリーを提供します。これは、SSL、TLS、および DTLS といった暗号化アルゴリズムを実装するものです。今回の更新では、p11-kit パッケージにより、GnuTLS は Red Hat Enterprise Linux の中央証明書ストアを使用するようになっています。証明書のブラックリストのほかに、認証局 (CA) の更新もランタイム時のアプリケーションが認識できるようになっています (BZ#1110750)。
firewall-cmd コマンドが詳細を提供
今回の更新で firewalld は、サービス、ゾーンおよび
ICMP タイプの詳細を表示するようになっています。また、ソース XML ファイルへの完全パスも一覧表示できます。firewall-cmd の新オプションは以下の通りです。
- [--permanent] --info-zone=zone
- [--permanent] --info-service=service
- [--permanent] --info-icmptype=icmptype (BZ#1147500)
pam_faillock の設定で unlock_time=never が利用可能
pam_faillock モジュールでは、unlock_time=never オプションを使用して、複数回の認証失敗により引き起こされたユーザー認証のロックが解除されないよう指定することができます (BZ#1273373)。
libica がバージョン 2.6.2 にリベース
libica パッケージがアップストリームバージョン 2.6.2 に更新され、バグ修正や機能拡張が加えられています。特に今回の更新では、更新されたセキュリティー仕様 NIST SP 800-90A に従って、Deterministic Random Bit Generator (DRBG) のサポート拡張を含む擬似乱数の生成に対するサポートが追加されています (BZ#1274390)。
新たな lastlog オプション
lastlog ユーティリティーに --clear と --set の新オプションが加わり、システム管理者が never logged in 値または現在の時刻へのユーザーによる最後のログエントリーをリセットできるようになっています。これにより、使用されなかったことでロックされていたユーザーアカウントを再度有効にすることができます (BZ#1114081)。
libreswan がバージョン 3.15 にリベース
Libreswan は、Internet Protocol Security (IPsec) および Internet Key Exchange (IKE) の Linux 向け 実装です。libreswan パッケージはアップストリームバージョン 3.15 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更は以下の通りです。
- nonce のサイズが拡大され、SHA2 アルゴリズム使用時に RFC 要件を満たすようになっています。
- 接続エラーの場合、
LibreswanがNetworkManagerヘルパーを呼び出します。 - 証明書内のすべての
CRLdistributionpointsが処理されます。 Libreswanが存在しない IPsec Security Associations (SAs) の削除を試みることがなくなりました。plutoIKE デーモンにCAP_DAC_READ_SEARCHケイパビリティーが備わりました。- オンデマンドトンネル使用時に
plutoがクラッシュすることがなくなりました。 pam_acct_mgmtが適切に設定されます。- 不具合が修正され、
keyingtries=0のあるトンネルが無制限にトンネルの確立を試みます。 - 継続的アップであるように設定されたトンネルが削除されてこれを再度確立するまでの遅延が 1 秒以下になりました (BZ#1389316)。
nettle での SHA-3 実装が FIPS 202 に準拠
nettle は、ほどんどどのコンテキストにも適合するよう設計された暗号化ライブラリーです。今回の更新では、Secure Hash Algorithm 3 (SHA-3) が更新され、Federal Information Processing Standard (FIPS) 202 の最終ドラフトに準拠するようになっています (BZ#1252936)。
scap-security-guide がバージョン 0.1.30 にリベース
scap-security-guide パッケージは、最終的なシステムのセキュリティーという観点からシステム設定のガイドを提供します。このパッケージがバージョン 0.1.30 にアップグレードされました。主な改善点は以下の通りです。
- NIST Committee on National Security Systems (CNSS) Instruction No. 1253 プロファイルが含まれるようになり、Red Hat Enterprise Linux 7 向けに更新されています。
- Center for Internet Security (CIS) ベンチマークに啓発された米国政府 Commercial Cloud Services (C2S) プロファイルが提供されています。
remediationスクリプトがベンチマークに含まれ、外部の shell ライブラリーが不要になりました。- Red Hat Enterprise Linux 7 向け米国防情報システム局 (DISA) セキュリティー技術導入ガイド (STIG) プロファイルが更新され、Red Hat Enterprise Linux 6 向けのプロファイルと同一になりました。
- Red Hat Enterprise Linux 7 向け Criminal Justice Information Services (CJIS) セキュリティーポリシープロファイルのドラフトが利用可能になりました (BZ#1390661)。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.