Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第53章 Red Hat Enterprise Linux 7 での非推奨の機能

Identity Management に関連する非推奨のパッケージ

以下のパッケージは非推奨となり、Red Hat Enterprise Linux の今後のメジャーリリースには含まれません。
非推奨パッケージ 代替として提案されるパッケージまたは製品
authconfig authselect
pam_pkcs11 sssd [a]
pam_krb5 sssd [b]
openldap-servers ユースケースに応じて、Red Hat Enterprise Linux に同梱されている Identity Management または Red Hat Directory Server に移行します。[c]
[a] SSSD (System Security Services Daemon) には、拡張スマートカード機能が含まれています。
[b] pam_krb5 から sssd への移行の詳細については、Red Hat カスタマーポータルのナレッジベースの記事 How to migrate from pam_krb5 to SSSD を参照してください。
[c] Red Hat Directory Server には、有効な Directory Server サブスクリプションが必要です。

非推奨の安全でないアルゴリズムとプロトコル

暗号化ハッシュと暗号化、および暗号化プロトコルを提供するアルゴリズムには使用可能な期間があり、それを過ぎるとリスクが高すぎるか、または安全でないとみなされます。詳細は、Red Hat カスタマーポータルのナレッジベースの記事 Enhancing the Security of the Operating System with Cryptography Changes in Red Hat Enterprise Linux 7.4 を参照してください。
OpenSSHでは
今回の更新で、OpenSSH ライブラリーは、デフォルト設定からいくつかの弱い暗号とアルゴリズムを削除します。ただし、ほとんどの場合、後方互換性は保証されています。
OpenSSH サーバーおよびクライアントから以下が削除されました。
  • ホスト鍵アルゴリズム
    • ssh-rsa-cert-v00@openssh.com
    • ssh-dss-cert-v00@openssh.com
  • 暗号:
    • arcfour256
    • arcfour128
    • arcfour
    • rijndael-cbc@lysator.liu.se
  • MACs:
    • hmac-md5
    • hmac-md5-96
    • hmac-md5-96-etm@openssh.com
    • hmac-md5-etm@openssh.com
    • hmac-ripemd160
    • hmac-ripemd160-etm@openssh.com
    • hmac-ripemd160@openssh.com
    • hmac-sha1-96
    • hmac-sha1-96-etm@openssh.com
OpenSSH クライアントから以下が削除されました。
  • 暗号:
    • blowfish-cbc
    • cast128-cbc
    • 3des-cbc
OpenSSH
今回の更新で、FIPS モードのデフォルトリストから SHA-1 ベースの鍵交換アルゴリズムが削除されました。これらのアルゴリズムを有効にするには、~/.ssh/config および /etc/ssh/sshd_config ファイルに以下の設定スニペットを使用します。 
KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
SSH-1 プロトコルが OpenSSH サーバー から削除されました(
SSH-1 プロトコルサポートは OpenSSH サーバーから削除されました。詳細は、The server-side SSH-1 protocol removal from RHEL 7.4 のナレッジベースの記事を参照してください。
MD5
今回の更新で、証明書、証明書失効リスト (CRL) およびメッセージ署名における MD5、MD4、および SHA0 の署名の検証へのサポートが削除されました。
また、デジタル署名を生成するデフォルトのアルゴリズムが SHA-1 から SHA-256 に変更されました。SHA-1 署名の検証は、レガシー目的で引き続き有効になっています。
システム管理者は、etc/pki/tls/legacy-settings ポリシー設定ファイルの LegacySigningMDs オプションを変更することで、MD5、MD4、または SHA0 サポートを有効にできます。以下に例を示します。 
echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
複数のレガシーアルゴリズムを追加するには、新しい行を除いて、コンマまたは任意の空白文字を使用します。詳細は、OpenSSL パッケージの README.legacy-settings ファイルを参照してください。
OPENSSL_ENABLE_MD5_VERIFY 環境変数を設定して MD5 検証を有効にする こともできます。
OpenSSL クライアントは
今回の更新で、OpenSSL クライアントが 1024 ビットより短い Diffie-Hellman (DH)パラメーターを使用してサーバーに接続できなくなりました。これにより、OpenSSL を使用するクライアントが Logjam などの脆弱性の影響を受けにくくなります。
システム管理者は、/etc/pki/tls/legacy-settingsMinimumDHBits オプションを変更することで、より短い DH パラメーターサポートを有効にできます。以下に例を示します。 
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
このオプションは、システム管理者が必要とする場合に、最小値を上げるためにも使用できます。
SSL 2.0 のサポートが OpenSSLから完全に削除されました(
7 年以上にわたって安全でないと考えられていた SSL プロトコルバージョン 2.0 は、2011 年に RFC 6176 により非推奨となりました。Red Hat Enterprise Linux では、SSL 2.0 のサポートはデフォルトですでに無効になっています。今回の更新で、SSL 2.0 のサポートが完全に削除されました。このプロトコルバージョンを使用する OpenSSL ライブラリー API コールは、エラーメッセージを返すようになりました。
OpenSSL の EXPORT 暗号スイートが非推奨になりました。
この変更により、OpenSSL ツールキットから EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、OpenSSL を使用するクライアントが FREAK などの脆弱性の影響を受けにくくなります。EXPORT 暗号スイートは、TLS プロトコル設定で不要になりました。
GnuTLS クライアントは
この変更により、GNU Transport Layer Security (GnuTLS) クライアントが 1024 ビットより短い Diffie-Hellman (DH) パラメーターを持つサーバーに接続できなくなりました。これにより、GnuTLS を使用するクライアントが Logjam などの脆弱性の影響を受けにくくなります。
ユーザーまたは設定から優先度文字列を直接受け入れるアプリケーションでは、使用されている優先度文字列に優先度文字列 %PROFILE_VERY_WEAK を追加することで、この変更を元に戻すことができます。
TLS を使用する NSS クライアントは
この変更により、Network Security Services (NSS) クライアントが 1024 ビットより短い Diffie-Hellman (DH) パラメーターを持つサーバーに接続できなくなります。これにより、NSS を使用するクライアントが Logjam などの脆弱性の影響を受けにくくなります。
システム管理者は、/etc/pki/nss-legacy/nss-rhel7.config ポリシー設定ファイルを変更して、より短い DH パラメーターサポートを有効にできます。 
library=
name=Policy
NSS=flags=policyOnly,moduleDB
config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"
ファイルの最後に空の行が必要であることに注意してください。
NSS の EXPORT 暗号スイートが非推奨になりました。
この変更により、Network Security Services (NSS) ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、FREAK などの脆弱性から保護されます。EXPORT 暗号スイートは、TLS プロトコル設定では必要ありません。

ca-certificatesパッケージから削除されたレガシー CA 証明書

以前は、古いバージョンの GnuTLSOpenSSL、および glib-networking ライブラリーが公開鍵インフラストラクチャー(PKI)との互換性を維持できるように、ca-certificates パッケージには 1024 ビット RSA 鍵のレガシー CA 証明書のセットがデフォルトで信頼されるように含まれていました。
Red Hat Enterprise Linux 7.4 以降、OpenSSLGnuTLS、および glib-networking の更新バージョンが利用可能になり、ルート CA 証明書の置き換えを正しく識別できます。パブリック Web PKI の互換性の場合、これらのレガシー CA 証明書を信頼することは不要になりました。
以前は、レガシー CA 証明書を無効にするために使用できたレガシー設定メカニズムは、サポートされなくなりました。レガシー CA 証明書のリストが空に変更されました。
ca-legacy ツールは引き続き利用でき、今後再利用できるように現在の設定も維持されます。

coolkeyopensc に置き換えられる

OpenSC ライブラリーは PKCS#11 API を実装し、coolkey パッケージを置き換えます。Red Hat Enterprise Linux 7 では、CoolKey Applet 機能も opensc パッケージにより提供されます。
coolkey パッケージは、Red Hat Enterprise Linux 7 の有効期間中サポートされ続けますが、新しいハードウェアの有効化は、opensc パッケージで提供されます。

rsyslog imudp モジュールの inputname オプションが非推奨に

rsyslog サービスの imudp モジュールの inputname オプションが非推奨になりました。代わりに name オプションを使用してください。

FedFS が非推奨に

アップストリームの FedFS プロジェクトが積極的に保守されなくなったため、FedFS (Federated File System) が非推奨となりました。Red Hat は、FedFS インストールを移行して autofs を使用することを推奨します。これにより、柔軟な機能が提供されます。

Btrfs が非推奨に

Btrfs ファイルシステムは、Red Hat Enterprise Linux 6 の初期リリース以降、テクノロジープレビュー状態になっています。Red Hat は、Btrfs を完全にサポートされる機能に移行せず、Red Hat Enterprise Linux の今後のメジャーリリースで削除される予定です。
Btrfs ファイルシステムは、Red Hat Enterprise Linux 7.4 のアップストリームから多くの更新を受け取り、Red Hat Enterprise Linux 7 シリーズで引き続き利用できます。ただし、この機能に対する更新はこれで最後となる予定です。

tcp_wrappers が非推奨に

tcp_wrappers パッケージ。ライブラリーと、systatfingerFTPtelnet、rlogin、rloginrshexectftp、tquit、および他のネットワークサービスに対する着信要求を監視およびフィルターリングできる小さなデーモンプログラムを提供します。

nautilus-open-terminalgnome-terminal-nautilus に置き換えられる

Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨になり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus で右クリックコンテキストメニューに Open in Terminal オプションを追加する Nautilus 拡張機能を提供します。システムアップグレード中、nautilus-open-terminalgnome-terminal-nautilus に置き換えられます。

Pythonから削除された sslwrap ()

sslwrap () 関数は Python 2.7 から削除されました。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
Red Hat は、代わりに ssl.SSLContext クラスと ssl.SSLContext.wrap_socket () 関数を使用することを推奨します。ほとんどのアプリケーションは、ssl.create_default_context () 関数を使用するだけで、安全なデフォルト設定でコンテキストを作成できます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。

依存関係としてリンクされたライブラリーのシンボルが ldによって解決されない

以前は、一部のライブラリーが他のライブラリーの依存関係として暗示的にしかリンクされていない場合でも、リンクされたライブラリーに存在するシンボルをすべて ld リンカーが解決していました。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から、ld は、依存関係として暗黙的にリンクされたライブラリーのシンボルへの参照を解決しないように変更されました。
その結果、アプリケーションコードがリンクを宣言せず、依存関係として暗黙的にリンク付けされていないライブラリーからのシンボルを使用しようとすると、ld とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
ld の以前の動作を復元するには、コマンドラインオプション -copy-dt-needed-entries を使用します。(BZ#1292230)

Windows ゲスト仮想マシンのサポートが限定

Red Hat Enterprise Linux 7 以降、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。

libnetlink が非推奨に

iproute-devel パッケージに含まれる libnetlink ライブラリーが非推奨になりました。代わりに libnl ライブラリーおよび libmnl ライブラリーを使用する必要があります。

KVM の S3 および S4 の電源管理状態が非推奨に

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Certificate Server の udnPwdDirAuth 認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。udnPwdDirAuth プラグインを使用してプロファイルで作成された証明書は、承認されている場合は引き続き有効です。

IdM 向けの Red Hat Access プラグインが廃止

Red Hat Enterprise Linux 7.3 で、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。更新中に、redhat-access-plugin-ipa が自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat は、redhat-support-tool ツールなどの代替手段を確認することを推奨します。

統合方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーと、アプリケーションまたはユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除される予定です。
Red Hat は、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。

rsyslog のいくつかのオプションが非推奨に

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンでは、多くのオプションが非推奨になりました。これらのオプションは有効ではなくなり、警告が表示されます。
  • -c-u-q-x-A-Q-4、および -6 のオプションが以前提供していた機能は、rsyslog 設定を使用して実現できます。
  • -l オプションおよび -s ありません。

memkind ライブラリーで非推奨のシンボル

memkind ライブラリーで、以下のシンボルが非推奨になりました。
  • memkind_finalize()
  • memkind_get_num_kind()
  • memkind_get_kind_by_partition()
  • memkind_get_kind_by_name()
  • memkind_partition_mmap()
  • memkind_get_size()
  • MEMKIND_ERROR_MEMALIGN
  • MEMKIND_ERROR_MALLCTL
  • MEMKIND_ERROR_GETCPU
  • MEMKIND_ERROR_PMTT
  • MEMKIND_ERROR_TIEDISTANCE
  • MEMKIND_ERROR_ALIGNMENT
  • MEMKIND_ERROR_MALLOCX
  • MEMKIND_ERROR_REPNAME
  • MEMKIND_ERROR_PTHREAD
  • MEMKIND_ERROR_BADPOLICY
  • MEMKIND_ERROR_REPPOLICY

SCTP (RFC 6458) のソケットの API 拡張オプションが非推奨に

Stream Control Transmission Protocol のソケット API 拡張機能の SCTP_SNDRCV オプション、SCTP_EXTRCV オプション、および SCTP_DEFAULT_SEND_PARAM オプションは、RFC 6458 仕様に従って非推奨になりました。
非推奨のオプションの代わりに、 SCTP_SNDINFO SCTP_NXTINFO、SCTP_NXTINFO、および SCTP_DEFAULT_SNDINFO が実装されています。

SSLv2 および SSLv3 を使用した NetApp ONTAP の管理は、libstorageMgmtではサポートされなくなりました。

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続は、libstorageMgmt ライブラリーではサポートされなくなりました。ユーザーは、NetApp サポートに連絡して Transport Layer Security (TLS) プロトコルを有効にすることができます。

dconf-dbus-1 が非推奨になり、dconf-editor が個別に提供されるようになりました。

今回の更新で、dconf-dbus-1 API が 削除されました。ただし、バイナリー互換性を維持するために dconf-dbus-1 ライブラリーがバックポートされています。Red Hat は、dconf-dbus-1 の代わりに GDBus ライブラリーを使用することを推奨し ます。
dconf-error.h ファイルの名前が dconf-enums.h に変更されました。さらに、dconf Editor が別の dconf-editor パッケージで提供されるようになりました。詳細は、8章デスクトップ を参照してください。

FreeRADIUSAuth-Type := Systemを受け入れなくなりました。

FreeRADIUS サーバーは、rlm_unix 認証モジュールの Auth-Type := System オプションを受け入れなくなりました。このオプションは、設定ファイルの authorize セクションで unix モジュールを使用することに置き換えられました。

非推奨となったデバイスドライバー

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mvsas
  • qla3xxx
  • megaraid_sas ドライバーの以下のコントローラーが非推奨になりました。
    • Dell PERC5, PCI ID 0x15
    • SAS1078R, PCI ID 0x60
    • SAS1078DE, PCI ID 0x7C
    • SAS1064R, PCI ID 0x411
    • VERDE_ZCR, PCI ID 0x413
    • SAS1078GEN2, PCI ID 0x78
  • qla2xxx ドライバーで、次のアダプターが非推奨になりました。
    • ISP24xx, PCI ID 0x2422
    • ISP24xx, PCI ID 0x2432
    • ISP2422, PCI ID 0x5422
    • QLE220, PCI ID 0x5432
    • QLE81xx, PCI ID 0x8001
    • QLE10000, PCI ID 0xF000
    • QLE84xx, PCI ID 0x8044
    • QLE8000, PCI ID 0x8432
    • QLE82xx, PCI ID 0x8021
  • be2net ドライバーが制御する次のイーサネットアダプターが非推奨になりました。
    • TIGERSHARK NIC, PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーが非推奨になりました。
    • Emulex OneConnect 10Gb iSCSI イニシエーター (一般)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下の Emulex ボードが非推奨になりました。
    BladeEngine 2 (BE2) デバイス
    • TIGERSHARK FCOE, PCI ID 0x0704
    ファイバーチャネル (FC) デバイス
    • FIREFLY, PCI ID 0x1ae5
    • PROTEUS_VF, PCI ID 0xe100
    • BALIUS, PCI ID 0xe131
    • PROTEUS_PF, PCI ID 0xe180
    • RFLY, PCI ID 0xf095
    • PFLY, PCI ID 0xf098
    • LP101, PCI ID 0xf0a1
    • TFLY, PCI ID 0xf0a5
    • BSMB, PCI ID 0xf0d1
    • BMID, PCI ID 0xf0d5
    • ZSMB, PCI ID 0xf0e1
    • ZMID, PCI ID 0xf0e5
    • NEPTUNE, PCI ID 0xf0f5
    • NEPTUNE_SCSP, PCI ID 0xf0f6
    • NEPTUNE_DCSP, PCI ID 0xf0f7
    • FALCON, PCI ID 0xf180
    • SUPERFLY, PCI ID 0xf700
    • DRAGONFLY, PCI ID 0xf800
    • CENTAUR, PCI ID 0xf900
    • PEGASUS, PCI ID 0xf980
    • THOR, PCI ID 0xfa00
    • VIPER, PCI ID 0xfb00
    • LP10000S, PCI ID 0xfc00
    • LP11000S, PCI ID 0xfc10
    • LPE11000S, PCI ID 0xfc20
    • PROTEUS_S, PCI ID 0xfc50
    • HELIOS, PCI ID 0xfd00
    • HELIOS_SCSP, PCI ID 0xfd11
    • HELIOS_DCSP, PCI ID 0xfd12
    • ZEPHYR, PCI ID 0xfe00
    • HORNET, PCI ID 0xfe05
    • ZEPHYR_SCSP, PCI ID 0xfe11
    • ZEPHYR_DCSP, PCI ID 0xfe12
システムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
上述のドライバーのうち、ここに記載されていないその他のコントローラーには変更はありません。

SFN4XXX アダプターが非推奨に

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨となっています。以前は、Solarflare のすべてのアダプターに単一のドライバー sfc が含まれていました。最近、SFN4XXX のサポートは sfc から分割され、sfc-falcon と呼ばれる新しい SFN4XXX のみのドライバーに移動しました。現時点では、両方のドライバーは引き続きサポートされますが、sfc-falcon および SFN4XXX のサポートは今後のメジャーリリースで削除される予定です。

Software-initiated-only FCoE ストレージ技術が非推奨に

Fibre Channel over Ethernet (FCoE) ストレージ技術の software-initiated-only 部分は、広く使用されなかったため非推奨となりました。software-initiated-only ストレージ技術は、Red Hat Enterprise Linux 7 のライフサイクル期間中はサポートされます。非推奨化の通知では、Red Hat Enterprise Linux の今後のメジャーリリースでは software-initiated ベースの FCoE がサポートされない意向が示されています。ハードウェアサポートと関連するユーザー空間ツール(ドライバー、libfclibfcoeなど)は、この非推奨通知の影響を受けないことに注意してください。

libvirt-lxc ツールを使用するコンテナーが非推奨に

以下のlibvirt-lxcパッケージは、Red Hat Enterprise Linux 7.1 以降で非推奨になりました。
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux コンテナーフレームワークでの今後の開発は、docker コマンドラインインターフェイスをベースにしています。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat KnowledgeBase article を参照してください。