Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第55章 コンパイラーおよびツール

実行可能スタックが無効になっていると、JIT 技術で正規表現のパフォーマンスを向上できません。

SELinux ポリシーが実行スタックを許可しないと、PCRE ライブラリーは JIT コンパイルを使用して正規表現を高速化できません。その結果、正規表現に対する JIT コンパイラーの試行は無視され、パフォーマンスが向上しません。
この問題を回避するには、影響を受ける SELinux ドメインで execmem アクションを有効にするルールで SELinux ポリシーを修正し、JIT コンパイルを有効にします。一部のルールはすでに提供されており、特定の SELinux ブール値で有効にできます。ブール値の一覧を表示するには、以下のコマンドの出力を参照してください。
getsebool -a | grep execmem
別の回避策は、pcre_study () 関数への呼び出しで JIT コンパイルを要求しないようにアプリケーションコードを変更することです。(BZ#1290432)

Gluster ライブラリーをアンロードした後、特定のアプリケーションが終了しない場合、メモリーリークが発生する

Gluster は、多くの内部コンポーネントと、関数や機能を実装するさまざまなトランスレーターで設定されています。Gluster をアプリケーションと密接に統合するために、gfapi アクセスメソッドが追加されました。ただし、すべてのコンポーネントおよびトランスレーターが、実行中のアプリケーションでアンロードできるように設計されているわけではありません。そのため、Gluster ライブラリーのアンロード後に終了しないプログラムは、Gluster が内部的に実行しているメモリー割り当ての一部を解放できません。
メモリーリークの量を減らすために、アプリケーションが可能な限り glfs_init () および glfs_fini () 関数を呼び出しないようにします。リークしたメモリーを解放するには、長時間実行しているアプリケーションを再起動する必要があります。(BZ#1409773)

DISA SRG への URL が正しくない

SCAP Security Guide (SSG) ルールは、米国国防情報システム局セキュリティー要件ガイド (DISA SRG) を参照しています。URL への接続に失敗し、404 - not found エラーが表示されます。そのため、ユーザーは SRG を直接参照することができません。この問題を回避するには、新しい URL を使用します。http://iase.disa.mil/stig/os/general/Pages/index.aspx/ (BZ#1464899)

ensure_gpgcheck_repo_metadata ルールが失敗する

ensure_gpgcheck_repo_metadata ルールの修復中に、特定のプロファイルは yum.conf ファイルを更新して repo_gpgcheck オプションを有効にします。Red Hat は現在、署名付きリポジトリーメタデータを提供していません。これにより、yum ユーティリティーは、公式リポジトリーからパッケージをインストールできなくなりました。この問題を回避するには、テーラリングファイルを使用して、プロファイルから ensure_gpgcheck_repo_metadata を削除します。修復によりシステムが壊れている場合は、yum.conf を更新し、repo_gpgcheck0 に設定します。(BZ#1465677)

SSG pam_faillock モジュール使用率の確認で、default=dieが正しく受け入れられない

SCAP セキュリティーガイド(SSG)の pam_faillock モジュールの使用率チェックでは、default=die オプションが正しく受け入れられません。したがって、pam_unix モジュールを使用したユーザー認証が失敗すると、pam_faillock のカウンターをインクリメントせずに、pam スタックの評価がただちに停止します。この問題を回避するには、authfail オプションの前に default=die を使用しないでください。これにより、pam_faillock カウンターが適切にインクリメントされます。(BZ#1448952)