Show Table of Contents
複数の
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第39章 非推奨の機能
本章では、Red Hat Enterprise Linux 7.4 までの Red Hat Enterprise Linux 7 のマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新規実装は推奨されません。特定メジャーリリースの非推奨機能の最新一覧については、そのメジャーリリースの最新版リリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新はセキュリティーと重大な修正のみに限定されます。Red Hat では、このようなハードウェアをできるだけ早い機会に取り替えることを推奨しています。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。特定の状況では、パッケージが製品から削除されることもあります。その場合は、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージを特定して、詳細な推奨事項が記載されます。
Identity Management に関連する非推奨機能
以下の機能は将来削除されるか、または他のコンポーネントに置き換えられる予定です。
authconfig
pam_pkcs11
pam_krb5
- OpenLDAP サーバー
非推奨の安全でないアルゴリズムおよびプロトコル
暗号化ハッシュおよび暗号化と暗号化プロトコルを提供するアルゴリズムは、一定期間後に、使用には危険または単に安全ではないと見なされます。詳細については、Red Hat カスタマーポータルのナレッジベース記事 Enhancing the Security of the Operating System with Cryptography Changes in Red Hat Enterprise Linux 7.4 を参照してください。
- 弱い暗号とアルゴリズムはデフォルトで
OpenSSH
で使用されない - この更新により、デフォルトの設定で
OpenSSH
ライブラリーにより複数の弱い暗号およびアルゴリズムが削除されます。ただし、ほとんどの場合は、後方互換性が確保されます。OpenSSH
サーバーおよびクライアントからは以下の暗号とアルゴリズムが削除されました。- ホストキーアルゴリズム:
- ssh-rsa-cert-v00@openssh.com
- ssh-dss-cert-v00@openssh.com
- 暗号:
- arcfour256
- arcfour128
- arcfour
- rijndael-cbc@lysator.liu.se
- MAC:
- hmac-md5
- hmac-md5-96
- hmac-md5-96-etm@openssh.com
- hmac-md5-etm@openssh.com
- hmac-ripemd160
- hmac-ripemd160-etm@openssh.com
- hmac-ripemd160@openssh.com
- hmac-sha1-96
- hmac-sha1-96-etm@openssh.com (MD5、truncated SHA-1、RIPEMD160)
OpenSSH
クライアントからは以下の暗号が削除されました。- 暗号: blowfish-cbc、cast128-cbc、および 3des-cbc。
OpenSSH
では SHA-1 ベースのキー交換アルゴリズムが FIPS モードで使用されない- この更新により、FIPS モードでデフォルトのリストから SHA-1 ベースのキー交換アルゴリズムが削除されます。これらのアルゴリズムを有効にするには、
~/.ssh/config
と/etc/ssh/sshd_config
のファイルの以下の設定スニペットを使用します。KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
- SSH-1 プロトコルを
OpenSSH
サーバーから削除 - SSH-1 プロトコルサポートは
OpenSSH
サーバーから削除されました。詳細については、ナレッジベース記事 The server-side SSH-1 protocol removal from RHEL 7.4 を参照してください。 - MD5、MD4、および SHA0 が
OpenSSL
で署名アルゴリズムとして使用できない - この更新により、証明書での MD5、MD4、および SHA0 署名、Certificate Revocation Lists (CRL)、メッセージ署名のサポートが削除されました。また、デジタル署名を生成するデフォルトのアルゴリズムが SHA-1 から SHA-256 に変更されました。これまでのアルゴリズムをサポートするために SHA-1 署名の検証は引き続き有効です。システム管理者は、
etc/pki/tls/legacy-settings
ポリシー設定ファイルでLegacySigningMDs
オプションを変更することにより MD5、MD4、または SHA0 サポートを有効にできます。以下に例を示します。echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
複数のレガシーアルゴリズムを追加するには、コンマまたはスペース文字 (新しい行を除く) を使用します。詳細については、OpenSSL
パッケージのREADME.legacy-settings
ファイルを参照してください。また、OPENSSL_ENABLE_MD5_VERIFY
環境変数を設定して MD5 検証を有効にすることもできます。 OpenSSL
クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない- この更新により、
OpenSSL
クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL
を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。システム管理者は、/etc/pki/tls/legacy-settings
でMinimumDHBits
オプションを変更して短い DH パラメーターのサポートを有効にできます。以下に例を示します。echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
このオプションは、最小値を増加させるためにも使用できます (システム管理者が必要とする場合)。 - SSL 2.0 サポートが
OpenSSL
から完全に削除 - SSL プロトコルバージョン 2.0 (7 年以上安全でないと見なされてきました) は 2011 年に RFC 6176 によって非推奨となりました。Red Hat Enterprise Linux では、SSL 2.0 のサポートはデフォルトですでに無効になっています。この更新により、SSL 2.0 サポートは完全に削除されました。このプロトコルバージョンを使用する
OpenSSL
ライブラリー API コールはエラーメッセージを返すようになりました。 OpenSSL
の EXPORT 暗号スイートは非推奨- この変更により、
OpenSSL
ツールキットから EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすることにより、OpenSSL
は FREAK などの脆弱性の影響を受けなくなります。EXPORT 暗号スイートは、TLS
プロトコル設定で不要になりました。 GnuTLS
クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない- この更新により、GNU Transport Layer Security (GnuTLS) クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、
OpenSSL
を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。ユーザーまたは設定から直接優先度文字列を受け取るアプリケーションでは、使用された優先度文字列に優先度文字列%PROFILE_VERY_WEAK
を追加することにより、この変更を元に戻すことができます。 TLS
を使用しているNSS
クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない- この更新により、Network Security Services (NSS) クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、
OpenSSL
を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。システム管理者は、/etc/pki/nss-legacy/nss-rhel7.config
ポリシー設定ファイルの内容を以下のものに変更して短い DH パラメーターのサポートを有効にできます。library= name=Policy NSS=flags=policyOnly,moduleDB config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"
空の行がファイルの最後に必要であることに注意してください。 NSS
の EXPORT 暗号スイートは非推奨- この変更により、Network Security Services (NSS) ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすることにより、FREAK などの脆弱性から保護できます。EXPORT 暗号スイートは、
TLS
プロトコル設定で不要になりました。
レガシー CA 証明書が ca-certificates パッケージから削除
以前は、
GnuTLS
、OpenSSL
、および glib-networking
ライブラリーの古いバージョンと Public Key Infrastructure (PKI) の互換性を維持するために、ca-certificates パッケージに、デフォルトで信頼された 1024 ビットのRSA キーがあるレガシー CA 証明書セットが含まれていました。
Red Hat Enterprise Linux 7.4 には、ルート CA 証明書の代わりを正しく特定できる
OpenSSL
、GnuTLS
、および glib-networking
の更新済みバージョンが含まれるため、公開 Web PKI の互換性を維持するためにこれらのレガシー CA 証明書は不要になりました。
レガシー CA 証明書を無効にするために以前に使用できたレガシー設定メカニズムはサポートされなくなり、レガシー CA 証明書の一覧が空白に変更されました。
ca-legacy ツールはまだ利用可能であり、将来的な再利用のために現在の設定は保持されます。
opensc が coolkey を置換
OpenSC
ライブラリーは PKCS#11
API を実装し、coolkey パッケージを置き換えます。Red Hat Enterprise Linux 7 では、CoolKey Applet 機能は opensc パッケージによっても提供されます。
coolkey パッケージは Red Hat Enterprise Linux 7 のライフタイムの間サポートされますが、新しいハードウェア有効化は opensc パッケージによって提供されます。
FedFS
が非推奨
Federated File System (FedFS) は非推奨と見なされます。アップストリーム
fedfs
プロジェクトは積極的に保守されなくなります。Red Hat は柔軟な機能を提供する autofs
を使用することをお勧めします。
Btrfs
がテクノロジープレビューを終了
Btrfs
ファイルシステムは Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビューにとどまっています。Red Hat は Btrfs
を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux では削除される予定です。
Btrfs
ファイルシステムは Red Hat Enterprise Linux 7.4 の各種更新を受信しており、Red Hat Enterprise Linux 7 シリーズでは提供されますが、この機能に対する更新はこれで最後となる予定です。
Red Hat は、特にスナップショット、圧縮、NVRAM、使用性など、お客様のユースケースに対応するためにこれからの技術に引き続き投資します。ファイルシステムやストレージ技術の機能や要件に対するフィードバックを Red Hat の他担当者に提供いただけるようご協力お願いします。
gnome-terminal-nautilus が nautilus-open-terminal を置換
Red Hat Enterprise Linux 7.3 より、nautilus-open-terminal パッケージが非推奨となり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus の右クリックのコンテキストメニューに のオプションを追加する Nautilus の拡張機能です。nautilus-open-terminal は、システムのアップグレード中に gnome-terminal-nautilus によって置き換えられます。
sslwrap()
が Python から削除
Python 2.7 から
sslwrap()
関数が削除されました。466 Python Enhancement Proposal が実装された後にこの関数を使用すると、セグメンテーション違反が発生します。この削除はアップストリームに沿うものです。Red Hat では、この関数の代わりに ssl.wrap_socket()
関数の使用を推奨しています。
Windows ゲスト仮想マシンのサポートが限定的
Red Hat Enterprise Linux 7 の時点では、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされます。
libnetlink
が非推奨
iproute-devel パッケージに含まれている
libnetlink
ライブラリーは非推奨になりました。ユーザーは、このライブラリーの代わりに libnl
および libmnl
ライブラリーを使用することを推奨します。
KVM の S3 および S4 の電源管理状態が非推奨
S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。
Certificate Server の udnPwdDirAuth プラグインが廃止
Red Hat Enterprise Linux 7.3 では、Red Hat Certificate Server の
udnPwdDirAuth
認証プラグインが廃止されました。このプラグインを使用するプロファイルはサポートされなくなりました。udnPwdDirAuth
プラグインを使用したプロファイルで作成された証明書は、承認済みの場合には引き続き有効です。
IdM 向けの Red Hat Access プラグインが廃止
Red Hat Enterprise Linux 7.3 では、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。redhat-access-plugin-ipa パッケージはシステムの更新時に自動的にアンインストールされます。 ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインによって以前提供されていた機能は、Red Hat カスタマーポータルで引き続き利用することができます。Red Hat では、
redhat-support-tool
ツールなどの代替オプションを検討されることを推奨します。
フェデレーション方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス
ipsilon パッケージは Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーとアプリケーション/ユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、Ipsilon をテクノロジープレビューから完全にサポートされた機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat は、Web SSO ソリューションとして Red Hat Single Sign-On (Keycloak コミュニティープロジェクトをベースにする) をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも強力な機能を提供し、Red Hat 製品ポートフォリオ全体の標準 Web SSO ソリューションと指定されています。
複数の rsyslog
オプションが非推奨
Red Hat Enterprise Linux 7.4 の
rsyslog
ユーティリティーバージョンで複数のオプションが非推奨になりました。これらのオプションは効力がなくなり、警告が表示されてしまいます。
- これまで
-c
、-u
、-q
、-x
、-A
、-Q
、-4
、-6
のオプションを使用した機能はrsyslog
設定を使用して取得できます。 - これまで
-l
および-s
で指定した機能の代わりとなるものはありません。
SCTP (RFC 6458) のソケット API 拡張オプションが非推奨
ストリーム コントロール トランスミッション プロトコル (SCTP: Stream Control Transmission Protocol) のソケット API 拡張の
SCTP_SNDRCV
、SCTP_EXTRCV
および SCTP_DEFAULT_SEND_PARAM
は RFC 6458 仕様に従い、非推奨となりました。
非推奨となったオプションの代わりに、
SCTP_SNDINFO
、SCTP_NXTINFO
、SCTP_NXTINFO
、 SCTP_DEFAULT_SNDINFO
の新規オプションが実装されました。
SSLv2 および SSLv3 は NetApp ONTAP によるサポートがなくなりました
NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続は
libstorageMgmt
ライブラリーでサポートされなくなりました。NetApp に問い合わせて Transport Layer Security (TLS) プロトコルを有効化してください。
dconf-dbus-1
は非推奨となり、dconf-editor
が別途提供
今回の更新では
dconf-dbus-1
API が削除されましたが、バイナリーの互換性を確保するために dconf-dbus-1
ライブラリーがバックポートされました。Red Hat は dconf-dbus-1
ではなく GDBus
ライブラリーを使用することを推奨します。
dconf-error.h
ファイルの名前が dconf-enums.h
に変更されました。また dconf Editor は別の dconf-editor パッケージで提供されるようになりました。詳しい情報は 8章デスクトップを参照してください。
FreeRADIUS
は Auth-Type := System
を受け入れなくなりました
FreeRADIUS
サーバーは、rlm_unix
認証モデルの Auth-Type := System
オプションを受け入れなくなりました。このオプションの代わりに、設定ファイルの authorize
セクションで unix
モジュールを使用することになりました。
非推奨のデバイスドライバー
- 3w-9xxx
- 3w-sas
- mptbase
- mptctl
- mptsas
- mptscsih
- mptspi
- mvsas
- qla3xxx
megaraid_sas
ドライバーの以下のコントローラーが非推奨となりました。- Dell PERC5、PCI ID 0x15
- SAS1078R、PCI ID 0x60
- SAS1078DE、PCI ID 0x7C
- SAS1064R、PCI ID 0x411
- VERDE_ZCR、PCI ID 0x413
- SAS1078GEN2、PCI ID 0x78
be2net
ドライバーによって制御される次のイーサネットアダプターは非推奨となりました。- TIGERSHARK NIC、PCI ID 0x0700
be2iscsi
ドライバーの以下のコントローラーは非推奨となりました。- Emulex OneConnect 10Gb iSCSI Initiator (汎用)、PCI ID 0x212
- OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
- OCe10100 BE2 アダプターファミリー、PCI ID 0x703
lpfc
ドライバーの以下の Emulex ボードは非推奨となりました。BladeEngine 2 (BE2) デバイス
- TIGERSHARK FCOE、PCI ID 0x0704
ファイバーチャネル (FC) デバイス
- FIREFLY、PCI ID 0x1ae5
- PROTEUS_VF、PCI ID 0xe100
- BALIUS、PCI ID 0xe131
- PROTEUS_PF、PCI ID 0xe180
- RFLY、PCI ID 0xf095
- PFLY、PCI ID 0xf098
- LP101、PCI ID 0xf0a1
- TFLY、PCI ID 0xf0a5
- BSMB、PCI ID 0xf0d1
- BMID、PCI ID 0xf0d5
- ZSMB、PCI ID 0xf0e1
- ZMID、PCI ID 0xf0e5
- NEPTUNE、PCI ID 0xf0f5
- NEPTUNE_SCSP、PCI ID 0xf0f6
- NEPTUNE_DCSP、PCI ID 0xf0f7
- FALCON、PCI ID 0xf180
- SUPERFLY、PCI ID 0xf700
- DRAGONFLY、PCI ID 0xf800
- CENTAUR、PCI ID 0xf900
- PEGASUS、PCI ID 0xf980
- THOR、PCI ID 0xfa00
- VIPER、PCI ID 0xfb00
- LP10000S、PCI ID 0xfc00
- LP11000S、PCI ID 0xfc10
- LPE11000S、PCI ID 0xfc20
- PROTEUS_S、PCI ID 0xfc50
- HELIOS、PCI ID 0xfd00
- HELIOS_SCSP、PCI ID 0xfd11
- HELIOS_DCSP、PCI ID 0xfd12
- ZEPHYR、PCI ID 0xfe00
- HORNET、PCI ID 0xfe05
- ZEPHYR_SCSP、PCI ID 0xfe11
- ZEPHYR_DCSP、PCI ID 0xfe12
使用中のシステム上の PCI ID を確認するには、
lspci -nn
コマンドを実行します。
上記のドライバーのコントローラーで、この一覧には含まれていないコントローラーについては変更がない点に注意してください。
非推奨のアダプター
以下のアダプターが非推奨になりました。
- 0x2422 -> ISP24xx
- 0x2432 -> ISP24xx
- 0x5422 -> ISP2422
- 0x5432 -> QLE220
- 0x8001 -> QLE81xx
- 0xF000 -> QLE10000
- 0x8044 -> QLE84xx
- 0x8432 -> QLE8000
SFN4XXX アダプターが非推奨
Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨になりました。以前は、Solarflare にはすべてのアダプターに対する単一のドライバー
sfc
がありました。最近、SFN4XXX は sfc
から分割され、sfc-falcon
という名前の新しい SFN4XXX 専用ドライバーに移動されました。これら両方のドライバーは現時点ではサポートされますが、sfc-falcon
と SFN4XXX のサポートは将来のメジャーリリースで削除される予定です。
FCoE ストレージ技術
Fibre Channel over Ethernet (FCoE) のストレージ技術が非推奨になりました。非推奨となった理由は、提供されてから数年経っても幅広く採用されず、一般的な関心を集められなかったためです。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。