Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第53章 Red Hat Enterprise Linux 7 での非推奨の機能
Identity Management に関連する非推奨のパッケージ
以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ | 代替として提案されるパッケージまたは製品 |
---|---|
authconfig | authselect |
pam_pkcs11 | sssd [a] |
pam_krb5 | sssd [b] |
openldap-servers | ユースケースに応じて、Red Hat Enterprise Linux に同梱されている Identity Management または Red Hat Directory Server に移行します。[c] |
[a]
SSSD (System Security Services Daemon) には、拡張スマートカード機能が含まれています。
[b]
pam_krb5 から sssd への移行の詳細については、Red Hat カスタマーポータルのナレッジベースの記事 How to migrate from pam_krb5 to SSSD を参照してください。
[c]
Red Hat Directory Server には、有効な Directory Server サブスクリプションが必要です。
|
非推奨の安全でないアルゴリズムとプロトコル
暗号化ハッシュと暗号化、および暗号化プロトコルを提供するアルゴリズムには使用可能な期間があり、それを過ぎるとリスクが高すぎるか、または安全でないとみなされます。詳細は、Red Hat カスタマーポータルのナレッジベースの記事 Enhancing the Security of the Operating System with Cryptography Changes in Red Hat Enterprise Linux 7.4 を参照してください。
OpenSSH
では- 今回の更新で、
OpenSSH
ライブラリーは、デフォルト設定からいくつかの弱い暗号とアルゴリズムを削除します。ただし、ほとんどの場合、後方互換性は保証されています。OpenSSH
サーバーおよびクライアントから以下が削除されました。- ホスト鍵アルゴリズム
- ssh-rsa-cert-v00@openssh.com
- ssh-dss-cert-v00@openssh.com
- 暗号:
- arcfour256
- arcfour128
- arcfour
- rijndael-cbc@lysator.liu.se
- MACs:
- hmac-md5
- hmac-md5-96
- hmac-md5-96-etm@openssh.com
- hmac-md5-etm@openssh.com
- hmac-ripemd160
- hmac-ripemd160-etm@openssh.com
- hmac-ripemd160@openssh.com
- hmac-sha1-96
- hmac-sha1-96-etm@openssh.com
OpenSSH
クライアントから以下が削除されました。- 暗号:
- blowfish-cbc
- cast128-cbc
- 3des-cbc
OpenSSH
は- 今回の更新で、FIPS モードのデフォルトリストから SHA-1 ベースの鍵交換アルゴリズムが削除されました。これらのアルゴリズムを有効にするには、
~/.ssh/config および
ファイルに以下の設定スニペットを使用します。/etc/ssh/sshd_config
KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
- SSH-1 プロトコルが
OpenSSH
サーバー から削除されました( - SSH-1 プロトコルサポートは
OpenSSH
サーバーから削除されました。詳細は、The server-side SSH-1 protocol removal from RHEL 7.4 のナレッジベースの記事を参照してください。 - MD5
- 今回の更新で、証明書、証明書失効リスト (CRL) およびメッセージ署名における MD5、MD4、および SHA0 の署名の検証へのサポートが削除されました。また、デジタル署名を生成するデフォルトのアルゴリズムが SHA-1 から SHA-256 に変更されました。SHA-1 署名の検証は、レガシー目的で引き続き有効になっています。システム管理者は、
etc/pki/tls/legacy-settings
ポリシー設定ファイルのLegacySigningMDs
オプションを変更することで、MD5、MD4、または SHA0 サポートを有効にできます。以下に例を示します。echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
複数のレガシーアルゴリズムを追加するには、新しい行を除いて、コンマまたは任意の空白文字を使用します。詳細は、OpenSSL
パッケージのREADME.legacy-settings
ファイルを参照してください。OPENSSL_ENABLE_MD5_VERIFY 環境変数を設定して MD5 検証を有効にする
こともできます。 OpenSSL
クライアントは- 今回の更新で、
OpenSSL
クライアントが 1024 ビットより短い Diffie-Hellman (DH)パラメーターを使用してサーバーに接続できなくなりました。これにより、OpenSSL
を使用するクライアントが Logjam などの脆弱性の影響を受けにくくなります。システム管理者は、/etc/pki/tls/legacy-settings
のMinimumDHBits
オプションを変更することで、より短い DH パラメーターサポートを有効にできます。以下に例を示します。echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
このオプションは、システム管理者が必要とする場合に、最小値を上げるためにも使用できます。 - SSL 2.0 のサポートが
OpenSSL
から完全に削除されました( - 7 年以上にわたって安全でないと考えられていた SSL プロトコルバージョン 2.0 は、2011 年に RFC 6176 により非推奨となりました。Red Hat Enterprise Linux では、SSL 2.0 のサポートはデフォルトですでに無効になっています。今回の更新で、SSL 2.0 のサポートが完全に削除されました。このプロトコルバージョンを使用する
OpenSSL
ライブラリー API コールは、エラーメッセージを返すようになりました。 OpenSSL
の EXPORT 暗号スイートが非推奨になりました。- この変更により、
OpenSSL
ツールキットから EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、OpenSSL
を使用するクライアントが FREAK などの脆弱性の影響を受けにくくなります。EXPORT 暗号スイートは、TLS
プロトコル設定で不要になりました。 GnuTLS
クライアントは- この変更により、GNU Transport Layer Security (GnuTLS) クライアントが 1024 ビットより短い Diffie-Hellman (DH) パラメーターを持つサーバーに接続できなくなりました。これにより、
GnuTLS
を使用するクライアントが Logjam などの脆弱性の影響を受けにくくなります。ユーザーまたは設定から優先度文字列を直接受け入れるアプリケーションでは、使用されている優先度文字列に優先度文字列%PROFILE_VERY_WEAK
を追加することで、この変更を元に戻すことができます。 TLS
を使用するNSS
クライアントは- この変更により、Network Security Services (NSS) クライアントが 1024 ビットより短い Diffie-Hellman (DH) パラメーターを持つサーバーに接続できなくなります。これにより、
NSS
を使用するクライアントが Logjam などの脆弱性の影響を受けにくくなります。システム管理者は、/etc/pki/nss-legacy/nss-rhel7.config
ポリシー設定ファイルを変更して、より短い DH パラメーターサポートを有効にできます。library= name=Policy NSS=flags=policyOnly,moduleDB config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"
ファイルの最後に空の行が必要であることに注意してください。 NSS
の EXPORT 暗号スイートが非推奨になりました。- この変更により、Network Security Services (NSS) ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、FREAK などの脆弱性から保護されます。EXPORT 暗号スイートは、
TLS
プロトコル設定では必要ありません。
ca-certificatesパッケージから削除されたレガシー CA 証明書
以前は、古いバージョンの
GnuTLS
、OpenSSL
、および glib-networking
ライブラリーが公開鍵インフラストラクチャー(PKI)との互換性を維持できるように、ca-certificates パッケージには 1024 ビット RSA 鍵のレガシー CA 証明書のセットがデフォルトで信頼されるように含まれていました。
Red Hat Enterprise Linux 7.4 以降、
OpenSSL
、GnuTLS
、および glib-networking
の更新バージョンが利用可能になり、ルート CA 証明書の置き換えを正しく識別できます。パブリック Web PKI の互換性の場合、これらのレガシー CA 証明書を信頼することは不要になりました。
以前は、レガシー CA 証明書を無効にするために使用できたレガシー設定メカニズムは、サポートされなくなりました。レガシー CA 証明書のリストが空に変更されました。
ca-legacy ツールは引き続き利用でき、今後再利用できるように現在の設定も維持されます。
coolkey が opensc に置き換えられる
OpenSC
ライブラリーは PKCS#11
API を実装し、coolkey パッケージを置き換えます。Red Hat Enterprise Linux 7 では、CoolKey Applet 機能も opensc パッケージにより提供されます。
coolkey パッケージは、Red Hat Enterprise Linux 7 の有効期間中サポートされ続けますが、新しいハードウェアの有効化は、opensc パッケージで提供されます。
rsyslog imudp
モジュールの inputname オプションが非推奨に
rsyslog
サービスの imudp
モジュールの inputname オプションが非推奨になりました。代わりに name オプションを使用してください。
FedFS
が非推奨に
アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、FedFS (Federated File System) が非推奨となりました。Red Hat は、FedFS インストールを移行して
autofs
を使用することを推奨します。これにより、柔軟な機能が提供されます。
Btrfs
が非推奨に
Btrfs
ファイルシステムは、Red Hat Enterprise Linux 6 の初期リリース以降、テクノロジープレビュー状態になっています。Red Hat は、Btrfs
を完全にサポートされる機能に移行せず、Red Hat Enterprise Linux の今後のメジャーリリースで削除される予定です。
Btrfs
ファイルシステムは、Red Hat Enterprise Linux 7.4 のアップストリームから多くの更新を受け取り、Red Hat Enterprise Linux 7 シリーズで引き続き利用できます。ただし、この機能に対する更新はこれで最後となる予定です。
tcp_wrappers が非推奨に
tcp_wrappers パッケージ。ライブラリーと、
systat
、finger
、FTP
、telnet
、rlogin、rlogin
、rsh
、exec
、tftp
、tquit、および他のネットワークサービスに対する着信要求を監視およびフィルターリングできる小さなデーモンプログラムを提供します。
nautilus-open-terminal が gnome-terminal-nautilus に置き換えられる
Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨になり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus で右クリックコンテキストメニューに Open in Terminal オプションを追加する Nautilus 拡張機能を提供します。システムアップグレード中、nautilus-open-terminal は gnome-terminal-nautilus に置き換えられます。
Pythonから削除された sslwrap ()
sslwrap ()
関数は Python 2.7 から削除されました。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
Red Hat は、代わりに
ssl.SSLContext
クラスと ssl.SSLContext.wrap_socket ()
関数を使用することを推奨します。ほとんどのアプリケーションは、ssl.create_default_context ()
関数を使用するだけで、安全なデフォルト設定でコンテキストを作成できます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。
依存関係としてリンクされたライブラリーのシンボルが ld
によって解決されない
以前は、一部のライブラリーが他のライブラリーの依存関係として暗示的にしかリンクされていない場合でも、リンクされたライブラリーに存在するシンボルをすべて
ld
リンカーが解決していました。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から、
ld
は、依存関係として暗黙的にリンクされたライブラリーのシンボルへの参照を解決しないように変更されました。
その結果、アプリケーションコードがリンクを宣言せず、依存関係として暗黙的にリンク付けされていないライブラリーからのシンボルを使用しようとすると、
ld
とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
Windows ゲスト仮想マシンのサポートが限定
Red Hat Enterprise Linux 7 以降、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。
libnetlink
が非推奨に
iproute-devel パッケージに含まれる
libnetlink
ライブラリーが非推奨になりました。代わりに libnl
ライブラリーおよび libmnl
ライブラリーを使用する必要があります。
KVM の S3 および S4 の電源管理状態が非推奨に
S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。
Certificate Server の udnPwdDirAuth プラグインが廃止
Red Hat Certificate Server の
udnPwdDirAuth
認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。udnPwdDirAuth
プラグインを使用してプロファイルで作成された証明書は、承認されている場合は引き続き有効です。
IdM 向けの Red Hat Access プラグインが廃止
Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。更新中に、redhat-access-plugin-ipa が自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat は、redhat-support-tool ツールなどの代替手段を確認することを推奨します。
統合方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス
ipsilon パッケージは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーと、アプリケーションまたはユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除される予定です。
Red Hat は、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。
rsyslog
のいくつかのオプションが非推奨に
Red Hat Enterprise Linux 7.4 の
rsyslog
ユーティリティーバージョンでは、多くのオプションが非推奨になりました。これらのオプションは有効ではなくなり、警告が表示されます。
- -c、-u、-q、-x、-A、-Q、-4、および -6 のオプションが以前提供していた機能は、
rsyslog
設定を使用して実現できます。 - -l オプションおよび -s ありません。
memkind
ライブラリーで非推奨のシンボル
memkind
ライブラリーで、以下のシンボルが非推奨になりました。
memkind_finalize()
memkind_get_num_kind()
memkind_get_kind_by_partition()
memkind_get_kind_by_name()
memkind_partition_mmap()
memkind_get_size()
MEMKIND_ERROR_MEMALIGN
MEMKIND_ERROR_MALLCTL
MEMKIND_ERROR_GETCPU
MEMKIND_ERROR_PMTT
MEMKIND_ERROR_TIEDISTANCE
MEMKIND_ERROR_ALIGNMENT
MEMKIND_ERROR_MALLOCX
MEMKIND_ERROR_REPNAME
MEMKIND_ERROR_PTHREAD
MEMKIND_ERROR_BADPOLICY
MEMKIND_ERROR_REPPOLICY
SCTP (RFC 6458) のソケットの API 拡張オプションが非推奨に
Stream Control Transmission Protocol のソケット API 拡張機能の SCTP_SNDRCV オプション、SCTP_EXTRCV オプション、および SCTP_DEFAULT_SEND_PARAM オプションは、RFC 6458 仕様に従って非推奨になりました。
非推奨のオプションの代わりに、 SCTP_SNDINFO 、SCTP_NXTINFO、SCTP_NXTINFO、および SCTP_DEFAULT_SNDINFO が実装されています。
SSLv2 および SSLv3 を使用した NetApp ONTAP の管理は、libstorageMgmt
ではサポートされなくなりました。
NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続は、
libstorageMgmt
ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。
dconf-dbus-1
が非推奨になり、dconf-editor
が個別に提供されるようになりました。
今回の更新で、
dconf-dbus-1 API が
削除されました。ただし、バイナリー互換性を維持するために dconf-dbus-1
ライブラリーがバックポートされています。Red Hat は、dconf-dbus-1 の代わりに GDBus
ライブラリーを使用することを推奨し
ます。
dconf-error.h
ファイルの名前が dconf-enums.h
に変更されました。さらに、dconf Editor が別の dconf-editor パッケージで提供されるようになりました。詳細は、8章デスクトップ を参照してください。
FreeRADIUS
が Auth-Type := System
を受け入れなくなりました。
FreeRADIUS
サーバーは、rlm_unix
認証モジュールの Auth-Type := System
オプションを受け入れなくなりました。このオプションは、設定ファイルの authorize
セクションで unix
モジュールを使用することに置き換えられました。
非推奨となったデバイスドライバー
- 3w-9xxx
- 3w-sas
- mptbase
- mptctl
- mptsas
- mptscsih
- mptspi
- mvsas
- qla3xxx
megaraid_sas
ドライバーの以下のコントローラーが非推奨になりました。- Dell PERC5, PCI ID 0x15
- SAS1078R, PCI ID 0x60
- SAS1078DE, PCI ID 0x7C
- SAS1064R, PCI ID 0x411
- VERDE_ZCR, PCI ID 0x413
- SAS1078GEN2, PCI ID 0x78
qla2xxx
ドライバーで、次のアダプターが非推奨になりました。- ISP24xx, PCI ID 0x2422
- ISP24xx, PCI ID 0x2432
- ISP2422, PCI ID 0x5422
- QLE220, PCI ID 0x5432
- QLE81xx, PCI ID 0x8001
- QLE10000, PCI ID 0xF000
- QLE84xx, PCI ID 0x8044
- QLE8000, PCI ID 0x8432
- QLE82xx, PCI ID 0x8021
be2net
ドライバーが制御する次のイーサネットアダプターが非推奨になりました。- TIGERSHARK NIC, PCI ID 0x0700
be2iscsi
ドライバーの以下のコントローラーが非推奨になりました。- Emulex OneConnect 10Gb iSCSI イニシエーター (一般)、PCI ID 0x212
- OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
- OCe10100 BE2 アダプターファミリー、PCI ID 0x703
lpfc
ドライバーの以下の Emulex ボードが非推奨になりました。BladeEngine 2 (BE2) デバイス
- TIGERSHARK FCOE, PCI ID 0x0704
ファイバーチャネル (FC) デバイス
- FIREFLY, PCI ID 0x1ae5
- PROTEUS_VF, PCI ID 0xe100
- BALIUS, PCI ID 0xe131
- PROTEUS_PF, PCI ID 0xe180
- RFLY, PCI ID 0xf095
- PFLY, PCI ID 0xf098
- LP101, PCI ID 0xf0a1
- TFLY, PCI ID 0xf0a5
- BSMB, PCI ID 0xf0d1
- BMID, PCI ID 0xf0d5
- ZSMB, PCI ID 0xf0e1
- ZMID, PCI ID 0xf0e5
- NEPTUNE, PCI ID 0xf0f5
- NEPTUNE_SCSP, PCI ID 0xf0f6
- NEPTUNE_DCSP, PCI ID 0xf0f7
- FALCON, PCI ID 0xf180
- SUPERFLY, PCI ID 0xf700
- DRAGONFLY, PCI ID 0xf800
- CENTAUR, PCI ID 0xf900
- PEGASUS, PCI ID 0xf980
- THOR, PCI ID 0xfa00
- VIPER, PCI ID 0xfb00
- LP10000S, PCI ID 0xfc00
- LP11000S, PCI ID 0xfc10
- LPE11000S, PCI ID 0xfc20
- PROTEUS_S, PCI ID 0xfc50
- HELIOS, PCI ID 0xfd00
- HELIOS_SCSP, PCI ID 0xfd11
- HELIOS_DCSP, PCI ID 0xfd12
- ZEPHYR, PCI ID 0xfe00
- HORNET, PCI ID 0xfe05
- ZEPHYR_SCSP, PCI ID 0xfe11
- ZEPHYR_DCSP, PCI ID 0xfe12
システムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
上述のドライバーのうち、ここに記載されていないその他のコントローラーには変更はありません。
SFN4XXX アダプターが非推奨に
Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare のすべてのアダプターに単一のドライバー
sfc
が含まれていました。最近、SFN4XXX のサポートは sfc
から分割され、sfc-falcon
と呼ばれる新しい SFN4XXX のみのドライバーに移動しました。現時点では、両方のドライバーは引き続きサポートされますが、sfc-falcon
および SFN4XXX のサポートは今後のメジャーリリースで削除される予定です。
Software-initiated-only FCoE ストレージ技術が非推奨に
Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only 部分は、広く使用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中はサポートされます。非推奨化の通知では、Red Hat Enterprise Linux の今後のメジャーリリースでは software-initiated ベースの FCoE がサポートされない意向が示されています。ハードウェアサポートと関連するユーザー空間ツール(ドライバー、
libfc
、libfcoe
など)は、この非推奨通知の影響を受けないことに注意してください。
libvirt-lxc
ツールを使用するコンテナーが非推奨に
以下のlibvirt-lxcパッケージは、Red Hat Enterprise Linux 7.1 以降で非推奨になりました。
- libvirt-daemon-driver-lxc
- libvirt-daemon-lxc
- libvirt-login-shell
Linux コンテナーフレームワークでの今後の開発は、docker コマンドラインインターフェイスをベースにしています。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat KnowledgeBase article を参照してください。