第15章 セキュリティー

新規パッケージ: tangclevisjoseluksmeta

NBDE (Network Bound Disk Encryption) により、システムの最起動時に手動でパスワードを入力する必要なく、物理マシンのハードドライブにある root ボリュームを暗号化できます。
  • Tang はネットワークとデータをバインドするサーバーで、リモートサーバーにバインドする暗号化の操作を行うデーモンが含まれます。tang パッケージは、サーバー側の NBDE プロジェクトの機能を提供します。
  • Clevis は自動復号化用のプラグ可能なフレームです。このフレームワークを使用して、データを自動的に復号化したり、LUKS ボリュームのロックを自動的に解除したりさえすることができます。clevis パッケージは、クライアント側の NBDE プロジェクトの機能を提供します。
  • José は、Javascript Object Signing and Encryption 標準の C 言語実装です。jose パッケージは、clevistang パッケージの依存関係としてインストールされます。
  • LUKSMeta は、LUKSv1 ヘッダーにメタデータを保存する単純なライブラリーです。luksmeta パッケージは clevistang パッケージの依存関係としてインストールされます。
tang-nagios および clevis-udisk2 サブパッケージはテクノロジープレビューとしてのみ提供されます (BZ#1300697、BZ#1300696、BZ#1399228、BZ#1399229)。

新規パッケージ: usbguard

USBGuard ソフトウェアフレームワークは、デバイス属性をもとに基本的なホワイトリストとブラックリスト登録機能を実装して、割り込み USB デバイスからシステムを保護します。ユーザー定義のポリシーを強制的に実行するために、USBGuard は Linux カーネルの USB デバイス認証機能を使用します。USBGuard フレームワークは以下のコンポーネントを提供します。
  • 動的対話およびポリシーの強制向けのプロセス間通信 (IPC: inter-process communication) インターフェースが含まれるデーモンコンポーネント
  • 実行中の USBGuard インスタンスと対話するコマンドラインインターフェース
  • USB 認証ポリシーを記述するルール言語
  • 共有ライブラリーに実装されたデーモンコンポーネントと対話する C++ API (BZ#1395615)

openssh がバージョン 7.4 にリベース

openssh パッケージがアップストリームバージョン 7.4 に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
  • SFTP で中断されたアップロードの再開サポートを追加
  • 認証失敗のメッセージに拡張ログ形式を追加
  • UseDNS defaults No オプションを追加
  • SHA-256 アルゴリズムを使用する新しいフィンガープリントの種類を追加
  • 外付けの暗証番号入力デバイスでの PKCS#11 デバイスの使用サポートを追加
  • OpenSSH サーバーから SSH-1 プロトコルのサポートを削除
  • レガシーの v00 cert 形式のサポートを削除
  • 鍵の種類を任意で無効にできるように ssh ユーティリティーおよび sshd デーモンに PubkeyAcceptedKeyTypes および HostKeyAlgorithms 設定オプションを追加
  • OpenSSH クライアントに AddKeysToAgent オプションを追加
  • ProxyJump ssh オプションと対応の -J コマンドラインフラグを追加
  • Diffie-Hellman 2K、4K、8K グループのサポートを追加
  • ssh_config ファイルに Include ディレクティブを追加
  • UseLogin オプションのサポートを削除
  • サーバーでの認証前の圧縮サポートを削除
  • 事前認証プロセスに seccomp フィルターを使用 (BZ#1341754)

audit がバージョン 2.7.6 にリベース

audit パッケージがアップストリームバージョン 2.7.6 に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
  • auditd サービスは起動時に自動的にロギングディレクトリーのパーミッションを調節するようになりました。これは、パッケージのアップグレード後にディレクトリーのパーミッションを正しく保つのに役立ちます。
  • ausearch ユーティリティーに新たに --format 出力オプションが追加されました。--format text オプションでは、発生した内容を英語の文章として出力します。--format csv オプションは、サブジェクト、オブジェクト、アクション、結果、発生原因、メタデータフィールドにログを正規化して、 Separated Value (CSV) 形式で出力します。これは、イベントの情報をデータベース、スプレッドシート、またはその他の分析プログラムにプッシュして、監視イベントを表示、表作成、または分析するのに適しています。
  • auditctl ユーティリティーは --reset-lost コマンドラインオプションを使用してカーネル内の損失イベント数をリセットできるようになりました。これにより、毎日値をゼロにリセットできるので、失ったイベントを簡単に確認できるようになります。
  • ausearch および aureport には --start コマンドラインオプションの boot オプションが追加され、システムを起動してからのイベントを検索できます。
  • ausearch および aureport--escape コマンドラインオプションが追加され、どのようなエスケープを実行してフィールドを監視するのかより良く制御できるようになりました。現在は rawttyshell および shell_quote エスケープをサポートします。
  • auditctl ではエントリーフィルターが含まれるルールを使用できるようになりました。このフィルターは Red Hat Enterprise Linux 5 以降サポートされていません。このリリース以前の Red Hat Enterprise Linux 6 および 7 では auditctl によりエントリールールが終了フィルターに移動され、エントリーフィルターが非推奨であるとの警告が表示されていました (BZ#1381601)。

opensc がバージョン 0.16.0 にリベース

ライブラリーとユーティリティーの OpenSC セットにより、スマーカードとの連携サポートが追加されました。OpenSC は、暗号化機能をサポートするカードに焦点を当て、認証、メールの暗号化、またはデジタル署名の使用ができるようにします。
Red Hat Enterprise Linux 7.4 の主な機能拡張は以下のとおりです。
  • OpenSC により Common Access Card (CAC) カードへのサポートが追加されました。
  • OpenSC により PKCS#11 API が実装され、CoolKey アプレット機能が追加されました。coolkey パッケージにより、opensc パッケージが置き換えられます。
coolkey パッケージは Red Hat Enterprise Linux 7 のライフタイムの間サポートされますが、新しいハードウェア有効化は opensc パッケージによって提供される点に注意してください (BZ#1081088、BZ#1373164)。

openssl がバージョン 1.0.2k にリベース

openssl パッケージがアップストリームバージョン 1.0.2k に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
  • Datagram TLS (DTLS) プロトコルバージョン 1.2 のサポートを追加
  • TLS の Elliptic Curve 自動選択へのサポートを追加
  • Application-Layer Protocol Negotiation (ALPN) へのサポートを追加
  • RSA-PSS、RSA-OAEP、ECDH および X9.42 DH のスキームに対する暗号メッセージ構文 (CMS: Cryptographic Message Syntax) サポートを追加
今回のバージョンは、以前のリリースの Red Hat Enterprise Linux 7 に含まれる OpenSSL ライブラリーバージョンの API と ABI と互換性があります (BZ#1276310)。

openssl-ibmca がバージョン 1.3.0 にリベース

openssl-ibmca パッケージがアップストリームバージョン 1.3.0 に更新され、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • SHA-512 へのサポートの追加
  • ibmca エンジンの起動時に暗号化メソッドを動的に読み込む。これにより、ibmca は暗号化メソッドがハードウェアでサポートされている場合には libica ライブラリーを使用して暗号化メソッドをダイレクトできるようになります。
  • ストリーム暗号モードでブロックサイズ処理のバグを修正 (BZ#1274385)

OpenSCAP 1.2 の NIST 認定

OpenSCAP 1.2、Security Content Automation Protocol (SCAP) スキャナーが、Red Hat Enterprise Linux 6 および 7 向けの、米政府評価済みの設定および脆弱性管理スキャナーとして、アメリカ国立標準技術研究所 (NIST) に認定されました。OpenSCAP はセキュリティーの自動化コンテンツを正しく分析、評価して、NIST が機密性およびセキュリティーレベルの高い環境で実行するのに必要な機能やドキュメントが提供されます。さらに、OpenSCAP は、Linux コンテナーを評価する、初の NIST 認定の設定スキャナーです。ユースケースには、Red Hat Enterprise Linux 7 ホスト設定を確認して PCI および DoD セキュリティー技術導入ガイド (STIG) に準拠しているかどうかの評価、Red Hat Common Vulnerabilities and Exposures (CVE) データを使用した既知の脆弱性スキャンなどが含まれます (BZ#1363826)。

libreswan がバージョン 3.20 にリベース

NetworkManager パッケージがアップストリームバージョン 3.2 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • 単一のシンプルな設定を全ホストに使用して大量のホストに対応する IPsec デプロイメントを可能にする opportunistic IPsec (Mesh Encryption) のサポートを追加
  • FIPS をさらに強化
  • Virtual Tunnel Interface (VTI) を使用したルーティングベースの VPN に対するサポートを追加
  • root 以外の設定のサポートを向上
  • オンライン証明書ステータスプロトコル (OCSP) と証明取り消し一覧 (CRL) サポートを向上
  • --fipsstatus--fetchcrls--globalstatus--shuntstatus など、新たな whack コマンドオプションを追加
  • NAT 日和見暗号 (OE) のクライアントアドレス変換に対するサポートを追加 (leftcat=yes)
  • Traffic Flow Confidentiality メカニズムのサポートを追加 (tfc=)
  • RFC 4307bis および RFC 7321bis に沿った暗号化設定に更新
  • Extended Sequence Numbers (ESN) (esn=yes) のサポートを追加
  • リプレイウィンドウ (replay-window=) の無効化および増加サポートを追加 (BZ#1399883)。

監査によるセッション ID をベースにしたフィルタリングサポートの追加

今回の更新では、Linux Audit システムにより sessionid の値をベースに監査メッセージをフィルタリングするユーザールールがサポートされるようになりました (BZ#1382504)。

libseccomp による IBM Power アーキテクチャーのサポート

今回の更新では libseccomp ライブラリーが IBM Power、64 ビットの IBM Powe、64 ビットの little-endian IBM Power アーキテクチャーをサポートするようになり、GNOME のリベースが可能になりました (BZ#1425007)。

AUDIT_KERN_MODULE によるモジュール読み込みの記録

AUDIT_KERN_MODULE の補助記録が init_module()finit_module() および delete_module()AUDIT_SYSCALL 記録に追加されました。この情報は audit_context 構造に保存されます (BZ#1382500)。

OpenSSH が鍵署名に SHA-2 を使用

以前のリリースでは、RSA および DSA 鍵を使用した公開鍵署名に OpenSSH は SHA-1 ハッシュアルゴリズムを使用していました。SHA-1 がセキュアであると見なされなくなり、新しい SSH プロトコル拡張が登場し、これにより SHA-2 が使用できます。今回の更新では SHA-2 が公開鍵署名のデフォルトのアルゴリズムとなり、SHA-1 は後方互換性の目的でのみ提供されています (BZ#1322911)。

firewalld による追加の IP セットのサポート

今回の firewalld サービスデーモンの更新で、以下の ipset タイプへのサポートが追加されました。
  • hash:ip,port
  • hash:ip,port,ip
  • hash:ip,port,net
  • hash:ip,mark
  • hash:net,net
  • hash:net,port
  • hash:net,port,net
  • hash:net,iface
送信元と宛先の組み合わせを同時に提供する以下の ipset タイプは、firewalld の送信元としてはサポートされません。これらのタイプを使用した IP セットは firewalld で作成されますが、用途はルールのダイレクトに制限されます。
  • hash:ip,port,ip
  • hash:ip,port,net
  • hash:net,net
  • hash:net,port,net
ipset パッケージがアップストリームバージョン 6.29 にリベースされ、以下の ipset タイプが追加でサポートされるようになりました。
  • hash:mac
  • hash:net,port,net
  • hash:net,net
  • hash:ip,mark (BZ#1419058)

firewalld によるリッチルールの ICMP タイプに対するアクションのサポート

今回の更新により、firewalld サービスデーモンでは、accept、log、mark アクションを含むリッチルールで Internet Control Message Protocol (ICMP) タイプを使用できるようになりました (BZ#1409544)。

firewalld による自動ヘルパーの割り当ての無効化サポート

firewalld サービスデーモンの今回の更新で、自動ヘルパーの割り当てを無効化する機能に対するサポートが追加されました。自動ヘルパー割り当てがオフになっている場合も、追加のルールを含めることなくfirewalld ヘルパーを使用できるようになりました (BZ#1006225)。

nss および nss-util による SHA-256 のデフォルト使用

今回の更新では、NSS ライブラリーのデフォルト設定がデジタル署名の作成時に、より強固なハッシュアルゴリズムを使用するように変更されました。RSA、EC、2048 ビット (以上の) DSA キーで構成される SHA-256 アルゴリズムが使用されるようになりました。
certutilcrlutilcmsutil などの NSS ユーティリティーもデフォルト設定で SHA-256 を使用する点に注意してください (BZ#1309781)。

Audit にあるフィルターの exclude ルールにさらなるフィールドを追加

exclude フィルターが強化され、msgtype フィールドだけでなく、piduidgidauidsessionIDSELinux タイプが含まれるようになりました (BZ#1382508)。

PROCTITLE は Audit イベントに完全なコマンドを提供

今回の更新では、Audit イベントに PROCTITLE レコードが追加されました。PROCTITLE は完全な実行コマンドを提供します。PROCTITLE の値は、Audit イベントパーサーを回避できないようにエンコードされます。PROCTITLE の値は、ユーザー空間の日付で操作が可能であるため、信頼済みではありません (BZ#1299527)。

nss-softokn がバージョン 3.28.3 にリベース

nss-softokn パッケージはアップストリームバージョン 3.28.3 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。
  • TLS (RFC 7905)、Internet Key Exchange Protocol (IKE)、(RFC 7634)で使用される ChaCha20-Poly1305 (RFC 7539) アルゴリズムに対するサポートを追加
  • 鍵交換の目的で Curve25519/X25519 曲線のサポートを追加
  • Extended Master Secret (RFC 7627) 拡張のサポートを追加 (BZ#1369055)

libica がバージョン 3.0.2 にリベース

libica パッケージがアップストリームバージョン 3.0.2 にアップグレードされ、1 つ前のバージョンに多くの修正が加えられています。主な変更点は以下のとおりです。
  • 連邦情報処理標準 (FIPS: Federal Information Processing Standard) モードのサポート
  • 更新されたセキュリティー NIST SP 800-90A に準拠する決定論的乱数生成器 (DRBG: Deterministic Random Bit Generator) への拡張サポートを含む、仕様擬似乱数の生成サポート (BZ#1391558)

opencryptoki がバージョン 3.6.2 にリベース

opencryptoki パッケージはアップストリームバージョン 3.6.2 にアップグレードされて、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。
  • OpenSSL 1.1 へのサポートを追加
  • 非推奨の OpenSSL インターフェースを置き換え
  • 非推奨の libica インターフェースを置き換え
  • IBM Crypto Accelerator (ICA) のパフォーマンスを向上
  • icsf トークンの rc=8, reasoncode=2028 エラーメッセージのサポートを追加 (BZ#1391559)

AUDIT_NETFILTER_PKT イベントの正規化

AUDIT_NETFILTER_PKT 監査イベントが簡素化されメッセージフィールドが一貫性のある状態で表示されるようになりました (BZ#1382494)。

p11tool は保存した ID を指定することでオブジェクトの記述をサポート

今回の更新では p11tool GnuTLS PKCS#11 ツールは、保存した ID を指定してオブジェクトを記述するために新しい --id オプションをサポートするるようになりました。これにより、p11tool 以外にも多くのアプリケーションがオブジェクトの記述に対応できるようになりました (BZ#1399232)。

新規パッケージ: nss-pem

今回の更新では、nss-pem パッケージが導入されました。以前のリリースではこのパッケージは nss パッケージの一部でしたが、別パッケージとして提供されています。nss-pem パッケージは、PKCS#11 モジュールとして実装される Network Security Services (NSS) の PEM ファイルリーダーを提供します (BZ#1316546)。

rsyslogpmrfc3164pmrfc3164sd に置き換え

今回の rsyslog パッケージの更新では、BSD syslog プロトコル形式 (RFC 3164) のログの解析に使用する pmrfc3164sd モジュールが公式な pmrfc3164 モジュールに置き換えられました。公式モジュールは pmrfc3164sd の機能に完全に対応していないので rsyslog の一部として提供されています。しかし、できる限り、新しい pmrfc3164 モジュールを使用することを推奨します。pmrfc3164sd モジュールのサポートは終了しています (BZ#1431616)。

libreswan による right=%opportunisticgroup のサポート

今回の更新では、Libreswan 設定の conn testin の部分にある right オプションの %opportunisticgroup 値がサポートされるようになりました。これにより、X.509 認証で opportunistic IPsec を使用できるようになり、大規模な環境での管理にかかるオーバーヘッドが大幅に削減されました (BZ#1324458)。

ca-certificates が Mozilla Firefox 52.2 ESR 要件を満たすようになる

Network Security Services (NSS) コードおよび認証局 (CA) 一覧が更新され、最新の Mozilla Firefox 延長サポート版 (ESR: Extended Support Release) で公開されている推奨条件を満たすようになりました。更新された認証局一覧はインターネットの公開鍵基盤 (PKI) で使用される証明書との互換性を向上します。証明書の検証で却下されないように、Red Hat は 2017 年 6 月 12 日に更新済みの認証局一覧をインストールすることを推奨します (BZ#1444413)。

nss が証明書の Mozilla Firefox 52.2 ESR 要件を満たす

認証局 (CA) 一覧が更新され、最新の Mozilla Firefox 延長サポート版 (ESR: Extended Support Release) で公開されている推奨条件を満たすようになりました。更新された認証局一覧はインターネットの公開鍵基盤 (PKI) で使用される証明書との互換性を向上します。証明書の検証で却下されないように、Red Hat は 2017 年 6 月 12 日に更新済みの認証局一覧をインストールすることを推奨します (BZ#1444414)。

scap-security-guide がバージョン 0.1.33 にリベース

scap-security-guide パッケージがアップストリームバージョン 0.1.33 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。特に、今回の新規バージョンでは、既存のコンプライアンスプロファイルが拡張され、新しい設定ベースラインを含めるように対象範囲が広がっています。
  • PCI-DSS v3 コントロールベースラインのサポートを延長
  • 米国政府 Commercial Cloud Services (C2S) のサポートを延長
  • Red Hat Corporate Profile for Certified Cloud Providers (RH CCP) のサポートを延長
  • Red Hat Enterprise Linux V1R1 プロファイルの DISA STIG に対応するように Red Hat Enterprise Linux 7 プロファイル向け米国防情報システム局 (DISA) セキュリティー技術導入ガイド (STIG) プロファイルのサポートを追加
  • 管理された非格付け情報 (CUI) のセキュリティーを確保するために Red Hat Enterprise Linux 7 を NIST Special Publication 800-53 のコントロールに沿って設定する米国国立標準技術研究所 (NIST 800-171) プロファイルの非格付け情報のサポートを追加
  • 米国国立標準技術研究所 (NIST)、アメリカ国防総省、アメリカ国家安全保障局と Red Hat で提携して開発した米国政府共通設定基準 (USGCB/STIG) プロファイルのサポートを追加
USGCB/STIG プロファイルは以下のドキュメントからの設定要件を実装します。
  • Committee on National Security Systems Instruction No. 1253 (CNSSI 1253)
  • 米国国立標準技術研究所の管理された非格付け情報 (CUI) (NIST 800-171)
  • 中位影響レベルシステムの NIST 800-53 の管理セレクション (NIST 800-53)
  • 米国政府共通設定基準 (USGCB: United States Government Configuration Baseline)
  • NIAP Protection Profile for General Purpose Operating Systems v4.0 (OSPP v4.0)
  • DISA Operating System Security Requirements Guide (OS SRG)
以前含まれていたプロファイルは削除されたり、統合されたりしている点に注意してください (BZ#1410914)。