第39章 非推奨の機能

本章では、Red Hat Enterprise Linux 7.4 までの Red Hat Enterprise Linux 7 のマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新規実装は推奨されません。特定メジャーリリースの非推奨機能の最新一覧については、そのメジャーリリースの最新版リリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新はセキュリティーと重大な修正のみに限定されます。Red Hat では、このようなハードウェアをできるだけ早い機会に取り替えることを推奨しています。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。特定の状況では、パッケージが製品から削除されることもあります。その場合は、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージを特定して、詳細な推奨事項が記載されます。

Identity Management に関連する非推奨機能

以下の機能は将来削除されるか、または他のコンポーネントに置き換えられる予定です。
  • authconfig
  • pam_pkcs11
  • pam_krb5
  • OpenLDAP サーバー

非推奨の安全でないアルゴリズムおよびプロトコル

暗号化ハッシュおよび暗号化と暗号化プロトコルを提供するアルゴリズムは、一定期間後に、使用には危険または単に安全ではないと見なされます。詳細については、Red Hat カスタマーポータルのナレッジベース記事 Enhancing the Security of the Operating System with Cryptography Changes in Red Hat Enterprise Linux 7.4 を参照してください。
弱い暗号とアルゴリズムはデフォルトで OpenSSH で使用されない
この更新により、デフォルトの設定で OpenSSH ライブラリーにより複数の弱い暗号およびアルゴリズムが削除されます。ただし、ほとんどの場合は、後方互換性が確保されます。
OpenSSH サーバーおよびクライアントからは以下の暗号とアルゴリズムが削除されました。
  • ホストキーアルゴリズム:
    • ssh-rsa-cert-v00@openssh.com
    • ssh-dss-cert-v00@openssh.com
  • 暗号:
    • arcfour256
    • arcfour128
    • arcfour
    • rijndael-cbc@lysator.liu.se
  • MAC:
    • hmac-md5
    • hmac-md5-96
    • hmac-md5-96-etm@openssh.com
    • hmac-md5-etm@openssh.com
    • hmac-ripemd160
    • hmac-ripemd160-etm@openssh.com
    • hmac-ripemd160@openssh.com
    • hmac-sha1-96
    • hmac-sha1-96-etm@openssh.com (MD5、truncated SHA-1、RIPEMD160)
OpenSSH クライアントからは以下の暗号が削除されました。
  • 暗号: blowfish-cbc、cast128-cbc、および 3des-cbc。
OpenSSH では SHA-1 ベースのキー交換アルゴリズムが FIPS モードで使用されない
この更新により、FIPS モードでデフォルトのリストから SHA-1 ベースのキー交換アルゴリズムが削除されます。これらのアルゴリズムを有効にするには、~/.ssh/config/etc/ssh/sshd_config のファイルの以下の設定スニペットを使用します。
KexAlgorithms=+diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1
SSH-1 プロトコルを OpenSSH サーバーから削除
SSH-1 プロトコルサポートは OpenSSH サーバーから削除されました。詳細については、ナレッジベース記事 The server-side SSH-1 protocol removal from RHEL 7.4 を参照してください。
MD5、MD4、および SHA0 が OpenSSL で署名アルゴリズムとして使用できない
この更新により、証明書での MD5、MD4、および SHA0 署名、Certificate Revocation Lists (CRL)、メッセージ署名のサポートが削除されました。
また、デジタル署名を生成するデフォルトのアルゴリズムが SHA-1 から SHA-256 に変更されました。これまでのアルゴリズムをサポートするために SHA-1 署名の検証は引き続き有効です。
システム管理者は、etc/pki/tls/legacy-settings ポリシー設定ファイルで LegacySigningMDs オプションを変更することにより MD5、MD4、または SHA0 サポートを有効にできます。以下に例を示します。
echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings
複数のレガシーアルゴリズムを追加するには、コンマまたはスペース文字 (新しい行を除く) を使用します。詳細については、OpenSSL パッケージの README.legacy-settings ファイルを参照してください。
また、OPENSSL_ENABLE_MD5_VERIFY 環境変数を設定して MD5 検証を有効にすることもできます。
OpenSSL クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない
この更新により、OpenSSL クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。
システム管理者は、/etc/pki/tls/legacy-settingsMinimumDHBits オプションを変更して短い DH パラメーターのサポートを有効にできます。以下に例を示します。
echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settings
このオプションは、最小値を増加させるためにも使用できます (システム管理者が必要とする場合)。
SSL 2.0 サポートが OpenSSL から完全に削除
SSL プロトコルバージョン 2.0 (7 年以上安全でないと見なされてきました) は 2011 年に RFC 6176 によって非推奨となりました。Red Hat Enterprise Linux では、SSL 2.0 のサポートはデフォルトですでに無効になっています。この更新により、SSL 2.0 サポートは完全に削除されました。このプロトコルバージョンを使用する OpenSSL ライブラリー API コールはエラーメッセージを返すようになりました。
OpenSSL の EXPORT 暗号スイートは非推奨
この変更により、OpenSSL ツールキットから EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすることにより、OpenSSL は FREAK などの脆弱性の影響を受けなくなります。EXPORT 暗号スイートは、TLS プロトコル設定で不要になりました。
GnuTLS クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない
この更新により、GNU Transport Layer Security (GnuTLS) クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。
ユーザーまたは設定から直接優先度文字列を受け取るアプリケーションでは、使用された優先度文字列に優先度文字列 %PROFILE_VERY_WEAK を追加することにより、この変更を元に戻すことができます。
TLS を使用している NSS クライアントで 1024 ビットよりも短い DH を使用してサーバーに接続できない
この更新により、Network Security Services (NSS) クライアントが 1024 ビットよりも短い Diffie-Hellman (DH) パラメーターを使用してサーバーに接続できなくなります。この結果、OpenSSL を使用したクライアントが Logjam などの脆弱性の影響を受けなくなります。
システム管理者は、/etc/pki/nss-legacy/nss-rhel7.config ポリシー設定ファイルの内容を以下のものに変更して短い DH パラメーターのサポートを有効にできます。
library=
name=Policy
NSS=flags=policyOnly,moduleDB
config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"

空の行がファイルの最後に必要であることに注意してください。
NSS の EXPORT 暗号スイートは非推奨
この変更により、Network Security Services (NSS) ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすることにより、FREAK などの脆弱性から保護できます。EXPORT 暗号スイートは、TLS プロトコル設定で不要になりました。

レガシー CA 証明書が ca-certificates パッケージから削除

以前は、GnuTLSOpenSSL、および glib-networking ライブラリーの古いバージョンと Public Key Infrastructure (PKI) の互換性を維持するために、ca-certificates パッケージに、デフォルトで信頼された 1024 ビットのRSA キーがあるレガシー CA 証明書セットが含まれていました。
Red Hat Enterprise Linux 7.4 には、ルート CA 証明書の代わりを正しく特定できる OpenSSLGnuTLS、および glib-networking の更新済みバージョンが含まれるため、公開 Web PKI の互換性を維持するためにこれらのレガシー CA 証明書は不要になりました。
レガシー CA 証明書を無効にするために以前に使用できたレガシー設定メカニズムはサポートされなくなり、レガシー CA 証明書の一覧が空白に変更されました。
ca-legacy ツールはまだ利用可能であり、将来的な再利用のために現在の設定は保持されます。

opensccoolkey を置換

OpenSC ライブラリーは PKCS#11 API を実装し、coolkey パッケージを置き換えます。Red Hat Enterprise Linux 7 では、CoolKey Applet 機能は opensc パッケージによっても提供されます。
coolkey パッケージは Red Hat Enterprise Linux 7 のライフタイムの間サポートされますが、新しいハードウェア有効化は opensc パッケージによって提供されます。

FedFS が非推奨

Federated File System (FedFS) は非推奨と見なされます。アップストリーム fedfs プロジェクトは積極的に保守されなくなります。Red Hat は柔軟な機能を提供する autofs を使用することをお勧めします。

Btrfs がテクノロジープレビューを終了

Btrfs ファイルシステムは Red Hat Enterprise Linux 6 の初回リリース以降、テクノロジープレビューにとどまっています。Red Hat は Btrfs を完全なサポート機能に移行する予定はなく、今後の Red Hat Enterprise Linux では削除される予定です。
Btrfs ファイルシステムは Red Hat Enterprise Linux 7.4 の各種更新を受信しており、Red Hat Enterprise Linux 7 シリーズでは提供されますが、この機能に対する更新はこれで最後となる予定です。
Red Hat は、特にスナップショット、圧縮、NVRAM、使用性など、お客様のユースケースに対応するためにこれからの技術に引き続き投資します。ファイルシステムやストレージ技術の機能や要件に対するフィードバックを Red Hat の他担当者に提供いただけるようご協力お願いします。

gnome-terminal-nautilusnautilus-open-terminal を置換

Red Hat Enterprise Linux 7.3 より、nautilus-open-terminal パッケージが非推奨となり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus の右クリックのコンテキストメニューに 端末で開く のオプションを追加する Nautilus の拡張機能です。nautilus-open-terminal は、システムのアップグレード中に gnome-terminal-nautilus によって置き換えられます。

sslwrap()Python から削除

Python 2.7 から sslwrap() 関数が削除されました。466 Python Enhancement Proposal が実装された後にこの関数を使用すると、セグメンテーション違反が発生します。この削除はアップストリームに沿うものです。Red Hat では、この関数の代わりに ssl.wrap_socket() 関数の使用を推奨しています。

Windows ゲスト仮想マシンのサポートが限定的

Red Hat Enterprise Linux 7 の時点では、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされます。

libnetlink が非推奨

iproute-devel パッケージに含まれている libnetlink ライブラリーは非推奨になりました。ユーザーは、このライブラリーの代わりに libnl および libmnl ライブラリーを使用することを推奨します。

KVM の S3 および S4 の電源管理状態が非推奨

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Enterprise Linux 7.3 では、Red Hat Certificate Server の udnPwdDirAuth 認証プラグインが廃止されました。このプラグインを使用するプロファイルはサポートされなくなりました。udnPwdDirAuth プラグインを使用したプロファイルで作成された証明書は、承認済みの場合には引き続き有効です。

IdM 向けの Red Hat Access プラグインが廃止

Red Hat Enterprise Linux 7.3 では、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。redhat-access-plugin-ipa パッケージはシステムの更新時に自動的にアンインストールされます。 ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインによって以前提供されていた機能は、Red Hat カスタマーポータルで引き続き利用することができます。Red Hat では、redhat-support-tool ツールなどの代替オプションを検討されることを推奨します。

フェデレーション方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーとアプリケーション/ユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、Ipsilon をテクノロジープレビューから完全にサポートされた機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat は、Web SSO ソリューションとして Red Hat Single Sign-On (Keycloak コミュニティープロジェクトをベースにする) をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも強力な機能を提供し、Red Hat 製品ポートフォリオ全体の標準 Web SSO ソリューションと指定されています。

複数の rsyslog オプションが非推奨

Red Hat Enterprise Linux 7.4 の rsyslog ユーティリティーバージョンで複数のオプションが非推奨になりました。これらのオプションは効力がなくなり、警告が表示されてしまいます。
  • これまで -c-u-q-x-A-Q-4-6 のオプションを使用した機能は rsyslog 設定を使用して取得できます。
  • これまで -l および -s で指定した機能の代わりとなるものはありません。

SCTP (RFC 6458) のソケット API 拡張オプションが非推奨

ストリーム コントロール トランスミッション プロトコル (SCTP: Stream Control Transmission Protocol) のソケット API 拡張の SCTP_SNDRCVSCTP_EXTRCV および SCTP_DEFAULT_SEND_PARAM は RFC 6458 仕様に従い、非推奨となりました。
非推奨となったオプションの代わりに、SCTP_SNDINFOSCTP_NXTINFOSCTP_NXTINFOSCTP_DEFAULT_SNDINFO の新規オプションが実装されました。

SSLv2 および SSLv3 は NetApp ONTAP によるサポートがなくなりました

NetApp ONTAP ストレージアレイへの SSLv2 および SSLv3 接続は libstorageMgmt ライブラリーでサポートされなくなりました。NetApp に問い合わせて Transport Layer Security (TLS) プロトコルを有効化してください。

dconf-dbus-1 は非推奨となり、dconf-editor が別途提供

今回の更新では dconf-dbus-1 API が削除されましたが、バイナリーの互換性を確保するために dconf-dbus-1 ライブラリーがバックポートされました。Red Hat は dconf-dbus-1 ではなく GDBus ライブラリーを使用することを推奨します。
dconf-error.h ファイルの名前が dconf-enums.h に変更されました。また dconf Editor は別の dconf-editor パッケージで提供されるようになりました。詳しい情報は 8章デスクトップを参照してください。

FreeRADIUSAuth-Type := System を受け入れなくなりました

FreeRADIUS サーバーは、rlm_unix 認証モデルの Auth-Type := System オプションを受け入れなくなりました。このオプションの代わりに、設定ファイルの authorize セクションで unix モジュールを使用することになりました。

非推奨のデバイスドライバー

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • mvsas
  • qla3xxx
  • megaraid_sas ドライバーの以下のコントローラーが非推奨となりました。
    • Dell PERC5、PCI ID 0x15
    • SAS1078R、PCI ID 0x60
    • SAS1078DE、PCI ID 0x7C
    • SAS1064R、PCI ID 0x411
    • VERDE_ZCR、PCI ID 0x413
    • SAS1078GEN2、PCI ID 0x78
  • be2net ドライバーによって制御される次のイーサネットアダプターは非推奨となりました。
    • TIGERSHARK NIC、PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーは非推奨となりました。
    • Emulex OneConnect 10Gb iSCSI Initiator (汎用)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下の Emulex ボードは非推奨となりました。
    BladeEngine 2 (BE2) デバイス
    • TIGERSHARK FCOE、PCI ID 0x0704
    ファイバーチャネル (FC) デバイス
    • FIREFLY、PCI ID 0x1ae5
    • PROTEUS_VF、PCI ID 0xe100
    • BALIUS、PCI ID 0xe131
    • PROTEUS_PF、PCI ID 0xe180
    • RFLY、PCI ID 0xf095
    • PFLY、PCI ID 0xf098
    • LP101、PCI ID 0xf0a1
    • TFLY、PCI ID 0xf0a5
    • BSMB、PCI ID 0xf0d1
    • BMID、PCI ID 0xf0d5
    • ZSMB、PCI ID 0xf0e1
    • ZMID、PCI ID 0xf0e5
    • NEPTUNE、PCI ID 0xf0f5
    • NEPTUNE_SCSP、PCI ID 0xf0f6
    • NEPTUNE_DCSP、PCI ID 0xf0f7
    • FALCON、PCI ID 0xf180
    • SUPERFLY、PCI ID 0xf700
    • DRAGONFLY、PCI ID 0xf800
    • CENTAUR、PCI ID 0xf900
    • PEGASUS、PCI ID 0xf980
    • THOR、PCI ID 0xfa00
    • VIPER、PCI ID 0xfb00
    • LP10000S、PCI ID 0xfc00
    • LP11000S、PCI ID 0xfc10
    • LPE11000S、PCI ID 0xfc20
    • PROTEUS_S、PCI ID 0xfc50
    • HELIOS、PCI ID 0xfd00
    • HELIOS_SCSP、PCI ID 0xfd11
    • HELIOS_DCSP、PCI ID 0xfd12
    • ZEPHYR、PCI ID 0xfe00
    • HORNET、PCI ID 0xfe05
    • ZEPHYR_SCSP、PCI ID 0xfe11
    • ZEPHYR_DCSP、PCI ID 0xfe12
使用中のシステム上の PCI ID を確認するには、lspci -nn コマンドを実行します。
上記のドライバーのコントローラーで、この一覧には含まれていないコントローラーについては変更がない点に注意してください。

非推奨のアダプター

以下のアダプターが非推奨になりました。
  • 0x2422 -> ISP24xx
  • 0x2432 -> ISP24xx
  • 0x5422 -> ISP2422
  • 0x5432 -> QLE220
  • 0x8001 -> QLE81xx
  • 0xF000 -> QLE10000
  • 0x8044 -> QLE84xx
  • 0x8432 -> QLE8000

SFN4XXX アダプターが非推奨

Red Hat Enterprise Linux 7.4 以降、SFN4XXX Solarflare ネットワークアダプターが非推奨になりました。以前は、Solarflare にはすべてのアダプターに対する単一のドライバー sfc がありました。最近、SFN4XXX は sfc から分割され、sfc-falcon という名前の新しい SFN4XXX 専用ドライバーに移動されました。これら両方のドライバーは現時点ではサポートされますが、sfc-falcon と SFN4XXX のサポートは将来のメジャーリリースで削除される予定です。

FCoE ストレージ技術

Fibre Channel over Ethernet (FCoE) のストレージ技術が非推奨になりました。非推奨となった理由は、提供されてから数年経っても幅広く採用されず、一般的な関心を集められなかったためです。