第14章 セキュリティー

LUKS で暗号化されたリムーバブルストレージデバイスを NBDE を使用して自動的にアンロック可能

今回の更新では、clevis パッケージと clevis_udisks2 サブパッケージにより、リムーバブルボリュームと Network-Bound Disk Encryption (NBDE) ポリシーをバインドできるようになりました。USB ドライブなど、LUKS で暗号化されたリムーバブルストレージデバイスを自動的にアンロックするには、clevis luks bindclevis luks unlock コマンドを使用します。(BZ#1475408)

新規パッケージ: clevis-systemd

Clevis のプラグ可能なフレームワークが更新され、clevis-systemd サブパッケージが導入されたので、起動時に LUKS で暗号化されている root 以外のボリュームを自動的にアンロックする設定が可能になりました。(BZ#1475406)

OpenSCAP を Ansible ワークフローに統合可能

今回の更新で、OpenSCAP スキャナーにより、プロファイルまたはスキャン結果をもとに Ansible Playbooks 形式で修正スクリプトを生成できるようになりました。SCAP Security Guide Profiles をもとにした Playbook には全ルールの修正が含まれ、スキャン結果をもとにした Playbook には評価時に失敗したルールの修正のみが含まれます。ユーザーは、カスタマイズしたプロファイルから Playbook を生成することも、Playbook の値を編集して直接カスタマイズすることもできます。Playbook でタスクのメタデータとして使用されるルール ID、ストラテジー、複雑性、中断、または参照などのタグは、適用するタスクを絞り込むフィルターとして機能します。(BZ#1404429)

SECCOMP_FILTER_FLAG_TSYNC により、呼び出しプロセススレッドを同期可能

今回の更新で SECCOMP_FILTER_FLAG_TSYNC フラグが導入されました。新規フィルターを追加すると、このフラグは呼び出しプロセスの他のスレッドすべてを、同じ seccomp フィルターツリーに同期します。詳細情報は、seccomp(2) man ページを参照してください。
アプリケーションが複数の libseccomp または seccomp-bpf フィルターをインストールする場合には、seccomp() のシステム呼び出しを、システム呼び出しの許可一覧に追加する必要があります。(BZ#1458278)

nss がバージョン 3.34 にリベース

nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • TLS 圧縮がサポートされなくなりました。
  • TLS サーバーコードは、RSA 鍵なしにセッションチケットをサポートするようになりました。
  • PKCS#11 URI を使用して証明書を指定できるようになりました。
  • RSA-PSS の暗号化署名スキームは、証明書の署名と、その確認ができるようになりました。(BZ#1457789)

mod_sslSSLv3 を無効化

SSL/TLS 接続のセキュリティーを向上させるために、httpd mod_ssl モジュールのデフォルト設定が SSLv3 プロトコルのサポートを無効にして、特定の暗号化スイートの使用を制限するように変更されました。今回の変更は新規インストールされた mod_ssl パッケージにしか適用されないので、既存のユーザーは手動で SSL 設定を変更する必要があります。
SSLv3 や、DES または RC4 ベースの暗号化スイートを使用して接続を確立しようとする SSL クライアントは、新しくなったデフォルト設定で拒否されます。このようなセキュアでない接続を許可するには、/etc/httpd/conf.d/ssl.confSSLProtocol および SSLCipherSuite ディレクティブを変更してください。(BZ#1274890)

Libreswan が IKEv2 向けのスプリット DNS 設定をサポート可能に

libreswan パッケージの今回の更新で、leftmodecfgdns= および leftcfgdomains= オプションを使用した、Internet Key Exchange version 2 (IKEv2) プロトコルのスプリット DNS 設定のサポートが導入されました。これにより、特定のプライベートドメインに対する DNS フォワーディングで、ローカルで実行する DNS サーバーを再設定できるようになりました。(BZ#1300763)

libreswan が ESP の AES-GMAC をサポート可能に

今回の更新で、libreswan パッケージに、phase2alg=null_auth_aes_gmac オプションによる IPsec Encapsulating Security Payload (ESP) 内の Advanced Encryption Standard (AES) Galois Message Authentication Code (GMAC) に対するサポートが追加されました。(BZ#1475434)

openssl-ibmca が 1.4.0 にリベース

openssl-ibmca パッケージがアップストリームバージョン 1.4.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • Advanced Encryption Standard Galois/Counter Mode (AES-GCM) サポートが追加されました。
  • FIPS モードでの OpenSSL 操作に対する修正が組み込まれました。(BZ#1456516)

opencryptoki が 3.7.0 にリベース

opencryptoki パッケージがアップストリームバージョン 3.7.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • ライセンスが Common Public License Version 1.0 (CPL) にアップグレードされました。
  • Enterprise PKCS #11 (EP11) および Common Cryptographic Architecture (CCA) の ECDSA with SHA-2 サポートが追加されました。
  • ミューテックスロックからトランザクショナルメモリー (TM) を移動することでパフォーマンスを向上させました。(BZ#1456520)

configuration_compliance を指定して atomic scan を実行すると、セキュリティーに準拠したコンテナーイメージをビルド時に作成可能

rhel7/openscap コンテナーイメージに、configuration_compliance スキャンタイプが追加されました。atomic scan コマンドの引数として使用すると、この新しいスキャンタイプに設定され、以下が可能になります。
  • SCAP Security Guide (SSG) に含まれるプロファイルと照合して、Red Hat Enterprise Linux ベースのコンテナーイメージとコンテナーをスキャンする
  • Red Hat Enterprise Linux ベースのコンテナーイメージが SSG で指定されているプロファイルに準拠するように修正する
  • スキャンまたは修正からの HTML レポートを生成する
修正すると、コンテナーイメージに変更された設定が追加され、元のコンテナーイメージの上に新しい層が追加されます。
元のコンテナーイメージは変更されず、新しい層がそのイメージの上層に追加されるだけなので注意してください。修正プロセスでは、改善された設定がすべて含まれる新規コンテナーイメージが構築されます。この層のコンテンツは、スキャンのセキュリティーポリシーで定義されます。つまり、修正されたコンテナーイメージは、元のコンテナーイメージとは異なるので、予想どおり修正されたコンテナーイメージからは Red Hat の署名がなくなります。(BZ#1472499)

tang-nagios により NagiosTang をモニタリング可能

tang-nagios サブパッケージでは、TangNagios プラグインを提供します。このプラグインにより、Nagios プログラムで Tang サーバーを監視できるようになります。このサブパッケージは Optional チャンネルで入手できます。詳しい情報は tang-nagios(1) man ページを参照してください。(BZ#1478895)

clevis が特権操作をログに記録

今回の更新で、clevis-udisks2 サブパッケージは、鍵を復元しようとした内容をすべて監査ログに記録し、特権を要する操作を Linux 監査システムを使用して追跡できるようになりました。(BZ#1478888)

アプリケーションのメモリーリークを防止するために PK11_CreateManagedGenericObject()NSS に追加

PK11_DestroyGenericObject() 関数では、PK11_CreateGenericObject() で割り当てられたオブジェクトが正しく破棄されませんが、オブジェクトの使用後も永続するオブジェクトを作成するために、この関数に依存するアプリケーションもあります。このような理由から、Network Security Services (NSS) ライブラリーに PK11_CreateManagedGenericObject() 関数が含まれるようになりました。PK11_CreateManagedGenericObject() でオブジェクトを作成すると、PK11_DestroyGenericObject() 関数は、元のオブジェクトを正しく破棄するようになります。また、curl ユーティリティーなどのアプリケーションは PK11_CreateManagedGenericObject() を使用してメモリーリークを回避できるようになりました。(BZ#1395803)

OpenSSHopenssl-ibmca および openssl-ibmpkcs11 の HSM をサポート可能に

今回の更新で、OpenSSH スイートが openssl-ibmca および openssl-ibmpkcs11 が処理するハードウェアセキュリティーモジュール (HSM) を許可するようになりました。従来のリリースでは、OpenSSH 特権分離が有効な間は、OpenSSH seccomp フィルターによりこれらのカードの動作が拒否されていました。seccomp フィルターが更新され、IBM z Systems 上の暗号化カードが必要とするシステムコールが許可されるようになりました。

cgroup_seclabel により、cgroups での粒度の細かいアクセス制御が可能

今回の更新で、コントロールグループ (cgroup) ファイルにラベルを設定できる cgroup_seclabel ポリシー機能が導入されました。この機能が追加される前は、cgroup ファイルシステムにラベルを付けることはできず、コンテナー内の systemd サービスマネージャーを実行するには、cgroup ファイルシステム上のコンテンツの読み取りおよび書き込みパーミッションを許可する必要がありました。cgroup_seclabel ポリシー機能により、cgroup ファイルシステムに対する粒度の細かいアクセス制御が可能になりました。(BZ#1494179)

起動プロセスで、ネットワーク接続された暗号化デバイスのロック解除が可能

以前のリリースでは、起動プロセスで、ネットワークサービスを起動する前に、ネットワークによって接続されるブロックデバイスのロックを解除しようとしていました。ネットワークが有効ではないので、これらのデバイスを接続して復号化できませんでした。
今回の更新で、systemd パッケージに remote-cryptsetup.target ユニットと他のパッチが追加されました。その結果、システムの起動時にネットワークによって接続される暗号化ブロックデバイスのロックを解除し、これらのブロックデバイスにファイルシステムをマウントできるようになりました。
システムの起動時にサービスを正しく起動できるように、/etc/crypttab 設定ファイルで _netdev オプションを使用してネットワークデバイスに印を付ける必要があります。
この機能の一般的なユースケースとして、ネットワークでバインドされたディスクの暗号化で使用することが挙げられます。ネットワークでバインドされたディスクの暗号化に関する情報は、『Red Hat Enterprise Linux Security Guide』の以下の章を参照してください。
Using Network-Bound Disk Encryption (BZ#1384014)

SELinuxInfiniBand オブジェクトラベリングをサポート可能に

今回のリリースで、SELinuxInfiniBand エンドポートおよび P_Key ラベリングをサポートするようになりました。これには、カーネル、ポリシー、および semanage ツールの拡張が含まれます。InfiniBand に関連するラベルを管理するには、以下のコマンドを使用します。
  • semanage ibendport
  • semanage ibpkey (BZ#1471809、BZ#1464484、BZ#1464478)

libica が 3.2.0 にリベース

libica パッケージがバージョン 3.2.0 にアップグレードされました。このパッケージでは主に、Enhanced SIMD 命令のサポートが追加されました。(BZ#1376836)

SELinux が systemd No New Privileges をサポート可能に

今回の更新で、以前のコンテキストと新しいコンテキスト間で nnp_nosuid_transition が許可されている場合に No New Privileges (NNP) または nosuid で SELinux ドメインの移行を可能にする、nnp_nosuid_transition ポリシー機能が導入されました。selinux-policy パッケージには、NNP セキュリティー機能を使用する systemd サービスのポリシーが含まれるようになりました。
以下のルールは、サービスに対するこの機能を許可しています。 
allow source_domain  target_type:process2 { nnp_transition nosuid_transition };
以下に例を示します。 
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
分散ポリシーには、m4 マクロインターフェースも含まれるようになりました。これは、init_nnp_daemon_domain() 関数を使用する SELinux セキュリティーポリシーに使用できます。(BZ#1480518)

Libreswan がバージョン 3.23 にリベース

libreswan パッケージがアップストリームバージョン 3.23 にアップグレードされ、バグ修正、スピード向上および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • dnssec-enable=yes|nodnssec-rootkey-file=、および dnssec-anchors= オプションにより、DNS Security Extensions (DNSSEC) スイートの拡張サポートが追加されました。
  • ppk=yes|no|insist オプションを使用した Postquantum Preshared Keys (PPK) の実験的サポートが追加されました。
  • RSA-SHA の署名認証 (RFC 7427) に対するサポートが追加されました。
  • 新しい logip= オプション (デフォルト値は yes) を使用して、受信 IP アドレスのロギングを無効にすることができます。これは、プライバシー侵害が懸念される大規模なサービスプロバイダーに便利です。
  • DNS の IPSECKEY レコードを使用することで、バインドされていない DNS サーバーの ipsecmod module サポートが追加されました。
  • decap-dscp=yes オプションを使用した、Differentiated Services Code Point (DSCP) アーキテクチャーのサポートが追加されました。DSCP は以前は、Terms Of Service (TOS) と呼ばれていました。
  • nopmtudisc=yes オプションを使用した Path MTU Discovery (PMTUD) を無効にするサポートが追加されました。
  • IDr (Identification - Responder) ペイロードのサポートが追加され、マルチドメインのデプロイメントが改善されました。
  • 極めてビジー状態のサーバーで、EAGAIN のエラーメッセージが返された場合に IKE パケットを再送信するようになりました。
  • カスタマイズできるように、updown スクリプトにさまざまな改善が加えられました。
  • RFC 8221 および RFC 8247 に準拠する暗号化アルゴリズムの設定が更新されました。
  • updown スクリプトを無効化するため、leftupdown= オプションに %none および /dev/null の値が追加されました。
  • CREATE_CHILD_SA 交換を使用した rekey のサポートが改善されました。
  • IKEv1 XAUTH スレッドの競合状態が解決されました。
  • pthread ロックの最適化によりパフォーマンスが大幅に改善されました。
詳細は ipsec.conf man ページを参照してください。(BZ#1457904)

libreswan が IKEv2 MOBIKE をサポート可能に

今回の更新で、mobike=yes|no オプションによる XFRM_MIGRATE メカニズムを使用する IKEv2 Mobility and Multihoming (MOBIKE) プロトコル (RFC 4555) のサポートが追加されました。MOBIKE により、IPsec トンネルに影響を及ぼすことなく、Wi-Fi、LTE などのネットワークをシームレスに切り替えることができます。(BZ#1471763)

scap-workbench がバージョン 1.1.6 にリベース

scap-workbench パッケージがバージョン 1.1.6 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • プロファイルやスキャンした結果から、Bash および Ansible 変更ロールを生成するサポートが追加されました。生成した変更内容は、後で使用できるようにファイルに保存できます。
  • コマンドラインから直接カスタマイズファイルを開くサポートが追加されました。
  • SSH のポート番号が 32,768 より大きい場合に short 整数型がオーバーフローする問題が解消されました。(BZ#1479036)

OpenSCAPDISA STIG Viewer の結果を生成可能

OpenSCAP スイートは、DISA STIG Viewer ツールと互換性のある形式で結果を生成できるようになりました。これにより、ユーザーは Defense Information Systems Agency Security Technical Implementation Guide (DISA STIG) コンプライアンスのローカルシステムをスキャンして、DISA STIG Viewer で結果を表示できるようになりました。(BZ#1505517)

selinux-policy で permissive モードに設定できないドメイン

セキュリティー強化手段として、SELinux ポリシーでは、以下のドメインをデフォルトでは permissive モードに設定しなくなりました。
  • blkmapd_t
  • hsqldb_t
  • ipmievd_t
  • sanlk_resetd_t
  • systemd_hwdb_t
  • targetd_t
これらのドメインのデフォルトモードは、enforcing に設定されるようになりました。(BZ#1494172)

audit がバージョン 2.8.1 にリベース

audit パッケージがアップストリームバージョン 2.8.1 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • ambient ケイパビリティーフィールドのサポートを追加。
  • Audit デーモンが IPv6 でも機能するようになりました。
  • auditd.conf ファイルにデフォルトポートを追加。
  • Access Vector Cache (AVC) メッセージを報告するように auvirt ツールを修正。(BZ#1476406)

OpenSC が SCE7.0 144KDI CAC Alt. トークンをサポート可能に

今回の更新で、SCE7.0 144KDI Common Access Card (CAC) Alternate トークンのサポートが追加されました。これらの新たなカードは、以前の U.S. Department of Defense (DoD) Implementation Guide for CAC PIV End-Point 仕様に適合していませんでした。OpenSC ドライバーが更新され、仕様の更新に対応しています。(BZ#1473418)