Show Table of Contents
rsyslog の
libreswan による
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第15章 セキュリティー
新規パッケージ: tang、clevis、jose、luksmeta
NBDE (Network Bound Disk Encryption) により、システムの最起動時に手動でパスワードを入力する必要なく、物理マシンのハードドライブにある root ボリュームを暗号化できます。
- Tang はネットワークとデータをバインドするサーバーで、リモートサーバーにバインドする暗号化の操作を行うデーモンが含まれます。tang パッケージは、サーバー側の NBDE プロジェクトの機能を提供します。
- Clevis は自動復号化用のプラグ可能なフレームです。このフレームワークを使用して、データを自動的に復号化したり、LUKS ボリュームのロックを自動的に解除したりさえすることができます。clevis パッケージは、クライアント側の NBDE プロジェクトの機能を提供します。
- José は、Javascript Object Signing and Encryption 標準の C 言語実装です。jose パッケージは、clevis と tang パッケージの依存関係としてインストールされます。
- LUKSMeta は、LUKSv1 ヘッダーにメタデータを保存する単純なライブラリーです。luksmeta パッケージは clevis と tang パッケージの依存関係としてインストールされます。
tang-nagios および clevis-udisk2 サブパッケージはテクノロジープレビューとしてのみ提供されます (BZ#1300697、BZ#1300696、BZ#1399228、BZ#1399229)。
新規パッケージ: usbguard
USBGuard
ソフトウェアフレームワークは、デバイス属性をもとに基本的なホワイトリストとブラックリスト登録機能を実装して、割り込み USB デバイスからシステムを保護します。ユーザー定義のポリシーを強制的に実行するために、USBGuard
は Linux カーネルの USB デバイス認証機能を使用します。USBGuard
フレームワークは以下のコンポーネントを提供します。
- 動的対話およびポリシーの強制向けのプロセス間通信 (IPC: inter-process communication) インターフェースが含まれるデーモンコンポーネント
- 実行中の USBGuard インスタンスと対話するコマンドラインインターフェース
- USB 認証ポリシーを記述するルール言語
- 共有ライブラリーに実装されたデーモンコンポーネントと対話する C++ API (BZ#1395615)
openssh がバージョン 7.4 にリベース
openssh パッケージがアップストリームバージョン 7.4 に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
SFTP
で中断されたアップロードの再開サポートを追加- 認証失敗のメッセージに拡張ログ形式を追加
UseDNS defaults No
オプションを追加- SHA-256 アルゴリズムを使用する新しいフィンガープリントの種類を追加
- 外付けの暗証番号入力デバイスでの PKCS#11 デバイスの使用サポートを追加
OpenSSH
サーバーから SSH-1 プロトコルのサポートを削除- レガシーの
v00 cert
形式のサポートを削除 - 鍵の種類を任意で無効にできるように
ssh
ユーティリティーおよびsshd
デーモンにPubkeyAcceptedKeyTypes
およびHostKeyAlgorithms
設定オプションを追加 OpenSSH
クライアントにAddKeysToAgent
オプションを追加ProxyJump ssh
オプションと対応の-J
コマンドラインフラグを追加- Diffie-Hellman 2K、4K、8K グループのサポートを追加
ssh_config
ファイルにInclude
ディレクティブを追加UseLogin
オプションのサポートを削除- サーバーでの認証前の圧縮サポートを削除
- 事前認証プロセスに seccomp フィルターを使用 (BZ#1341754)
audit がバージョン 2.7.6 にリベース
audit パッケージがアップストリームバージョン 2.7.6 に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
auditd
サービスは起動時に自動的にロギングディレクトリーのパーミッションを調節するようになりました。これは、パッケージのアップグレード後にディレクトリーのパーミッションを正しく保つのに役立ちます。ausearch
ユーティリティーに新たに--format
出力オプションが追加されました。--format text
オプションでは、発生した内容を英語の文章として出力します。--format csv
オプションは、サブジェクト、オブジェクト、アクション、結果、発生原因、メタデータフィールドにログを正規化して、 Separated Value (CSV) 形式で出力します。これは、イベントの情報をデータベース、スプレッドシート、またはその他の分析プログラムにプッシュして、監視イベントを表示、表作成、または分析するのに適しています。auditctl
ユーティリティーは--reset-lost
コマンドラインオプションを使用してカーネル内の損失イベント数をリセットできるようになりました。これにより、毎日値をゼロにリセットできるので、失ったイベントを簡単に確認できるようになります。ausearch
およびaureport
には--start
コマンドラインオプションのboot
オプションが追加され、システムを起動してからのイベントを検索できます。ausearch
およびaureport
に--escape
コマンドラインオプションが追加され、どのようなエスケープを実行してフィールドを監視するのかより良く制御できるようになりました。現在はraw
、tty
、shell
およびshell_quote
エスケープをサポートします。auditctl
ではエントリーフィルターが含まれるルールを使用できるようになりました。このフィルターは Red Hat Enterprise Linux 5 以降サポートされていません。このリリース以前の Red Hat Enterprise Linux 6 および 7 ではauditctl
によりエントリールールが終了フィルターに移動され、エントリーフィルターが非推奨であるとの警告が表示されていました (BZ#1381601)。
opensc がバージョン 0.16.0 にリベース
ライブラリーとユーティリティーの
OpenSC
セットにより、スマーカードとの連携サポートが追加されました。OpenSC
は、暗号化機能をサポートするカードに焦点を当て、認証、メールの暗号化、またはデジタル署名の使用ができるようにします。
Red Hat Enterprise Linux 7.4 の主な機能拡張は以下のとおりです。
OpenSC
により Common Access Card (CAC) カードへのサポートが追加されました。OpenSC
によりPKCS#11
API が実装され、CoolKey
アプレット機能が追加されました。coolkey パッケージにより、opensc パッケージが置き換えられます。
coolkey パッケージは Red Hat Enterprise Linux 7 のライフタイムの間サポートされますが、新しいハードウェア有効化は opensc パッケージによって提供される点に注意してください (BZ#1081088、BZ#1373164)。
openssl がバージョン 1.0.2k にリベース
openssl パッケージがアップストリームバージョン 1.0.2k に更新され、以下のような拡張機能、新機能、バグ修正が追加されています。
- Datagram TLS (DTLS) プロトコルバージョン 1.2 のサポートを追加
- TLS の Elliptic Curve 自動選択へのサポートを追加
- Application-Layer Protocol Negotiation (ALPN) へのサポートを追加
- RSA-PSS、RSA-OAEP、ECDH および X9.42 DH のスキームに対する暗号メッセージ構文 (CMS: Cryptographic Message Syntax) サポートを追加
今回のバージョンは、以前のリリースの Red Hat Enterprise Linux 7 に含まれる
OpenSSL
ライブラリーバージョンの API と ABI と互換性があります (BZ#1276310)。
openssl-ibmca がバージョン 1.3.0 にリベース
openssl-ibmca パッケージがアップストリームバージョン 1.3.0 に更新され、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
- SHA-512 へのサポートの追加
ibmca
エンジンの起動時に暗号化メソッドを動的に読み込む。これにより、ibmca
は暗号化メソッドがハードウェアでサポートされている場合にはlibica
ライブラリーを使用して暗号化メソッドをダイレクトできるようになります。- ストリーム暗号モードでブロックサイズ処理のバグを修正 (BZ#1274385)
OpenSCAP
1.2 の NIST 認定
OpenSCAP
1.2、Security Content Automation Protocol (SCAP) スキャナーが、Red Hat Enterprise Linux 6 および 7 向けの、米政府評価済みの設定および脆弱性管理スキャナーとして、アメリカ国立標準技術研究所 (NIST) に認定されました。OpenSCAP
はセキュリティーの自動化コンテンツを正しく分析、評価して、NIST が機密性およびセキュリティーレベルの高い環境で実行するのに必要な機能やドキュメントが提供されます。さらに、OpenSCAP
は、Linux コンテナーを評価する、初の NIST 認定の設定スキャナーです。ユースケースには、Red Hat Enterprise Linux 7 ホスト設定を確認して PCI および DoD セキュリティー技術導入ガイド (STIG) に準拠しているかどうかの評価、Red Hat Common Vulnerabilities and Exposures (CVE) データを使用した既知の脆弱性スキャンなどが含まれます (BZ#1363826)。
libreswan がバージョン 3.20 にリベース
NetworkManager パッケージがアップストリームバージョン 3.2 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
- 単一のシンプルな設定を全ホストに使用して大量のホストに対応する IPsec デプロイメントを可能にする opportunistic IPsec (Mesh Encryption) のサポートを追加
- FIPS をさらに強化
- Virtual Tunnel Interface (VTI) を使用したルーティングベースの VPN に対するサポートを追加
- root 以外の設定のサポートを向上
- オンライン証明書ステータスプロトコル (OCSP) と証明取り消し一覧 (CRL) サポートを向上
--fipsstatus
、--fetchcrls
、--globalstatus
、--shuntstatus
など、新たなwhack
コマンドオプションを追加- NAT 日和見暗号 (OE) のクライアントアドレス変換に対するサポートを追加 (
leftcat=yes
) - Traffic Flow Confidentiality メカニズムのサポートを追加 (
tfc=
) - RFC 4307bis および RFC 7321bis に沿った暗号化設定に更新
- Extended Sequence Numbers (ESN) (
esn=yes
) のサポートを追加 - リプレイウィンドウ (
replay-window=
) の無効化および増加サポートを追加 (BZ#1399883)。
監査によるセッション ID をベースにしたフィルタリングサポートの追加
今回の更新では、Linux Audit システムにより
sessionid
の値をベースに監査メッセージをフィルタリングするユーザールールがサポートされるようになりました (BZ#1382504)。
libseccomp
による IBM Power アーキテクチャーのサポート
今回の更新では
libseccomp
ライブラリーが IBM Power、64 ビットの IBM Powe、64 ビットの little-endian IBM Power アーキテクチャーをサポートするようになり、GNOME のリベースが可能になりました (BZ#1425007)。
AUDIT_KERN_MODULE
によるモジュール読み込みの記録
AUDIT_KERN_MODULE
の補助記録が init_module()
、finit_module()
および delete_module()
の AUDIT_SYSCALL
記録に追加されました。この情報は audit_context
構造に保存されます (BZ#1382500)。
OpenSSH
が鍵署名に SHA-2 を使用
以前のリリースでは、RSA および DSA 鍵を使用した公開鍵署名に
OpenSSH
は SHA-1 ハッシュアルゴリズムを使用していました。SHA-1 がセキュアであると見なされなくなり、新しい SSH プロトコル拡張が登場し、これにより SHA-2 が使用できます。今回の更新では SHA-2 が公開鍵署名のデフォルトのアルゴリズムとなり、SHA-1 は後方互換性の目的でのみ提供されています (BZ#1322911)。
firewalld
による追加の IP セットのサポート
今回の
firewalld
サービスデーモンの更新で、以下の ipset
タイプへのサポートが追加されました。
- hash:ip,port
- hash:ip,port,ip
- hash:ip,port,net
- hash:ip,mark
- hash:net,net
- hash:net,port
- hash:net,port,net
- hash:net,iface
送信元と宛先の組み合わせを同時に提供する以下の
ipset
タイプは、firewalld
の送信元としてはサポートされません。これらのタイプを使用した IP セットは firewalld
で作成されますが、用途はルールのダイレクトに制限されます。
- hash:ip,port,ip
- hash:ip,port,net
- hash:net,net
- hash:net,port,net
ipset パッケージがアップストリームバージョン 6.29 にリベースされ、以下の
ipset
タイプが追加でサポートされるようになりました。
- hash:mac
- hash:net,port,net
- hash:net,net
- hash:ip,mark (BZ#1419058)
firewalld
によるリッチルールの ICMP タイプに対するアクションのサポート
今回の更新により、
firewalld
サービスデーモンでは、accept、log、mark アクションを含むリッチルールで Internet Control Message Protocol (ICMP) タイプを使用できるようになりました (BZ#1409544)。
firewalld
による自動ヘルパーの割り当ての無効化サポート
firewalld
サービスデーモンの今回の更新で、自動ヘルパーの割り当てを無効化する機能に対するサポートが追加されました。自動ヘルパー割り当てがオフになっている場合も、追加のルールを含めることなくfirewalld
ヘルパーを使用できるようになりました (BZ#1006225)。
nss および nss-util による SHA-256 のデフォルト使用
今回の更新では、NSS ライブラリーのデフォルト設定がデジタル署名の作成時に、より強固なハッシュアルゴリズムを使用するように変更されました。RSA、EC、2048 ビット (以上の) DSA キーで構成される SHA-256 アルゴリズムが使用されるようになりました。
Audit にあるフィルターの exclude ルールにさらなるフィールドを追加
exclude フィルターが強化され、
msgtype
フィールドだけでなく、pid
、uid
、gid
、auid
、sessionID
、SELinux
タイプが含まれるようになりました (BZ#1382508)。
PROCTITLE
は Audit イベントに完全なコマンドを提供
今回の更新では、Audit イベントに
PROCTITLE
レコードが追加されました。PROCTITLE
は完全な実行コマンドを提供します。PROCTITLE
の値は、Audit イベントパーサーを回避できないようにエンコードされます。PROCTITLE
の値は、ユーザー空間の日付で操作が可能であるため、信頼済みではありません (BZ#1299527)。
nss-softokn がバージョン 3.28.3 にリベース
nss-softokn パッケージはアップストリームバージョン 3.28.3 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。
- TLS (RFC 7905)、Internet Key Exchange Protocol (IKE)、(RFC 7634)で使用される ChaCha20-Poly1305 (RFC 7539) アルゴリズムに対するサポートを追加
- 鍵交換の目的で Curve25519/X25519 曲線のサポートを追加
- Extended Master Secret (RFC 7627) 拡張のサポートを追加 (BZ#1369055)
libica がバージョン 3.0.2 にリベース
libica パッケージがアップストリームバージョン 3.0.2 にアップグレードされ、1 つ前のバージョンに多くの修正が加えられています。主な変更点は以下のとおりです。
- 連邦情報処理標準 (FIPS: Federal Information Processing Standard) モードのサポート
- 更新されたセキュリティー NIST SP 800-90A に準拠する決定論的乱数生成器 (DRBG: Deterministic Random Bit Generator) への拡張サポートを含む、仕様擬似乱数の生成サポート (BZ#1391558)
opencryptoki がバージョン 3.6.2 にリベース
opencryptoki パッケージはアップストリームバージョン 3.6.2 にアップグレードされて、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。
OpenSSL
1.1 へのサポートを追加- 非推奨の
OpenSSL
インターフェースを置き換え - 非推奨の libica インターフェースを置き換え
- IBM Crypto Accelerator (ICA) のパフォーマンスを向上
icsf
トークンのrc=8, reasoncode=2028
エラーメッセージのサポートを追加 (BZ#1391559)
AUDIT_NETFILTER_PKT
イベントの正規化
AUDIT_NETFILTER_PKT
監査イベントが簡素化されメッセージフィールドが一貫性のある状態で表示されるようになりました (BZ#1382494)。
p11tool
は保存した ID を指定することでオブジェクトの記述をサポート
今回の更新では
p11tool
GnuTLS PKCS#11 ツールは、保存した ID を指定してオブジェクトを記述するために新しい --id
オプションをサポートするるようになりました。これにより、p11tool
以外にも多くのアプリケーションがオブジェクトの記述に対応できるようになりました (BZ#1399232)。
新規パッケージ: nss-pem
今回の更新では、nss-pem パッケージが導入されました。以前のリリースではこのパッケージは nss パッケージの一部でしたが、別パッケージとして提供されています。nss-pem パッケージは、PKCS#11 モジュールとして実装される Network Security Services (NSS) の PEM ファイルリーダーを提供します (BZ#1316546)。
rsyslog の pmrfc3164
を pmrfc3164sd
に置き換え
今回の rsyslog パッケージの更新では、BSD
syslog
プロトコル形式 (RFC 3164) のログの解析に使用する pmrfc3164sd
モジュールが公式な pmrfc3164
モジュールに置き換えられました。公式モジュールは pmrfc3164sd
の機能に完全に対応していないので rsyslog の一部として提供されています。しかし、できる限り、新しい pmrfc3164
モジュールを使用することを推奨します。pmrfc3164sd
モジュールのサポートは終了しています (BZ#1431616)。
libreswan による right=%opportunisticgroup
のサポート
今回の更新では、Libreswan 設定の
conn testin
の部分にある right
オプションの %opportunisticgroup
値がサポートされるようになりました。これにより、X.509 認証で opportunistic IPsec を使用できるようになり、大規模な環境での管理にかかるオーバーヘッドが大幅に削減されました (BZ#1324458)。
ca-certificates が Mozilla Firefox 52.2 ESR 要件を満たすようになる
Network Security Services (NSS) コードおよび認証局 (CA) 一覧が更新され、最新の Mozilla Firefox 延長サポート版 (ESR: Extended Support Release) で公開されている推奨条件を満たすようになりました。更新された認証局一覧はインターネットの公開鍵基盤 (PKI) で使用される証明書との互換性を向上します。証明書の検証で却下されないように、Red Hat は 2017 年 6 月 12 日に更新済みの認証局一覧をインストールすることを推奨します (BZ#1444413)。
nss が証明書の Mozilla Firefox 52.2 ESR 要件を満たす
認証局 (CA) 一覧が更新され、最新の Mozilla Firefox 延長サポート版 (ESR: Extended Support Release) で公開されている推奨条件を満たすようになりました。更新された認証局一覧はインターネットの公開鍵基盤 (PKI) で使用される証明書との互換性を向上します。証明書の検証で却下されないように、Red Hat は 2017 年 6 月 12 日に更新済みの認証局一覧をインストールすることを推奨します (BZ#1444414)。
scap-security-guide がバージョン 0.1.33 にリベース
scap-security-guide パッケージがアップストリームバージョン 0.1.33 にアップグレードされ、1 つ前のバージョンに対して多くのバグ修正および機能拡張が加えられています。特に、今回の新規バージョンでは、既存のコンプライアンスプロファイルが拡張され、新しい設定ベースラインを含めるように対象範囲が広がっています。
- PCI-DSS v3 コントロールベースラインのサポートを延長
- 米国政府 Commercial Cloud Services (C2S) のサポートを延長
- Red Hat Corporate Profile for Certified Cloud Providers (RH CCP) のサポートを延長
- Red Hat Enterprise Linux V1R1 プロファイルの DISA STIG に対応するように Red Hat Enterprise Linux 7 プロファイル向け米国防情報システム局 (DISA) セキュリティー技術導入ガイド (STIG) プロファイルのサポートを追加
- 管理された非格付け情報 (CUI) のセキュリティーを確保するために Red Hat Enterprise Linux 7 を NIST Special Publication 800-53 のコントロールに沿って設定する米国国立標準技術研究所 (NIST 800-171) プロファイルの非格付け情報のサポートを追加
- 米国国立標準技術研究所 (NIST)、アメリカ国防総省、アメリカ国家安全保障局と Red Hat で提携して開発した米国政府共通設定基準 (USGCB/STIG) プロファイルのサポートを追加
USGCB/STIG プロファイルは以下のドキュメントからの設定要件を実装します。
- Committee on National Security Systems Instruction No. 1253 (CNSSI 1253)
- 米国国立標準技術研究所の管理された非格付け情報 (CUI) (NIST 800-171)
- 中位影響レベルシステムの NIST 800-53 の管理セレクション (NIST 800-53)
- 米国政府共通設定基準 (USGCB: United States Government Configuration Baseline)
- NIAP Protection Profile for General Purpose Operating Systems v4.0 (OSPP v4.0)
- DISA Operating System Security Requirements Guide (OS SRG)
以前含まれていたプロファイルは削除されたり、統合されたりしている点に注意してください (BZ#1410914)。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。