Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第16章 セキュリティー

Clevis が TPM 2.0 をサポート

この更新により、PBD (Policy-Based Decryption) に対する Clevis のプラグ可能なフレームワークは、TPM 2.0 (Trusted Platform Module 2.0) チップを使用して暗号化するクライアントもサポートします。詳細と、設定可能なプロパティーは、man ページ clevis-encrypt-tpm2(1) を参照してください。
この機能は、64 ビットの Intel または AMD アーキテクチャーを使用するシステムでのみ利用できます。(BZ#1472435)

gnutls が 3.3.29 にリベース

GnuTLS (GNU Transport Layer Security) ライブラリーがアップストリームのバージョン 3.3.29 にアップグレードし、バグ修正および機能修正が数多く追加されました。主な変更点は以下のとおりです。
  • ハードウェアセキュリティーモジュール (HSM) に対する PKCS#11 暗号化トークンインターフェースが改善されました。p11tool に DSA サポートが追加され、特定の Atos HSM におけるキーインポートが修正されました。
  • TLS Cipher Block Chaining (CBC) レコードパディングに対する防護策が改善されました。以前のバージョンには問題があり、攻撃者が CPU キャッシュへのアクセスを持ち、CPA (chosen-plaintext attack) を実行する攻撃に対しては不十分でした。
  • レガシーの HMAC-SHA384 暗号化スイートをデフォルトで無効にします。(BZ#1561481)

IBM z14 における OpenSSLAES-GCM オペレーションが速くなる

この更新により、IBM z14 システムで利用可能な CPACF (CP Assist for Cryptographic Functions) 命令を持つ暗号化操作の追加アクセラレーションがサポートされるようになりました。その結果、OpenSSL ライブラリーを使用した AES-GCM オペレーションは、IBM z14 以降のハードウェアではより速く実行されるようになりました。(BZ#1519396)

sudo がバージョン 1.8.23 にリベース

sudo パッケージがアップストリームバージョン 1.8.23 にアップグレードし、以前のバージョンにバグ修正および機能拡張が数多く追加されました。
  • 新しい cvtsudoers ユーティリティーが、sudoers2ldif スクリプトおよび visudo -x 機能の両方に置き換えられました。sudoers または LDIF のいずれかの形式でファイルを読み込み、JSON、LDIF、または sudoers 出力を生成します。また、ユーザー、グループ、またはホスト名で生成した出力ファイルにフィルターを設定することもできます。
  • always_query_group_plugin オプションは、デフォルトの /etc/sudoers ファイルに明示的に設定できるようになりました。以前のバージョンからアップグレードし、以前のグループクエリー動作を維持したい場合は、アップグレード後にこの設定が適切な位置にあることを確認する必要があります。
  • パスワードが必要なくなった場合でも、PAM アカウント管理モジュールを実行できるようになりました。
  • 新しい sudoers オプション case_insensitive_user および case_insensitive_group により、sudo が、sudoers のユーザーおよびグループに対して大文字小文字を区別するかどうかを制御できます。デフォルトでは、大文字小文字を区別しません。
  • コマンドラインで空の文字列として runas ユーザーを指定する際にエラーが発生します。以前のバージョンでは、空の runas ユーザーは、未指定の runas ユーザーと同じように処理されました。
  • I/O ログファイルは、デフォルトで ID 0 グループで作成されます。ただし、iolog_user オプションまたは iolog_group オプションが sudoers に設定されている場合は作成されません。
  • env_delete リストから *=()* パターンを削除して env_reset sudoers 設定が無効になっている環境では bash シェル関数を維持できるようになりました。(BZ#1547974)

usbguard がバージョン 0.7.4 にリベース

usbguard パッケージがアップストリームのバージョン 0.7.4 にリベースされ、以前のバージョンにバグ修正および機能拡張が数多く追加されました。以下はその具体例です。
  • ロギングファイルまたは監査イベントファイルを開くことができない場合、usbguard-daemon はエラーで終了します。
  • 現在のデバイスエミュレーションアルゴリズムは、信頼性がより高くなります。エミュレーションのタイムアウトにより、usbguard-daemon プロセスが終了することはなくなりました。
  • usbguard watch コマンドに、受信したすべてのイベントに実行ファイルを実行する -e オプションが含まれるようになりました。イベントデータは、環境変数を介して実行ファイルに渡されます。(BZ#1508878)

audit が 2.8.4 にリベース

audit パッケージがアップストリームバージョン 2.8.4 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下のとおりです。
  • 内部状態のダンプのサポートが追加されました。service auditd state コマンドを実行して、Audit デーモンの状態を表示できるようになりました。
  • rpm ツールおよび yum ツールで生成した SOFTWARE_UPDATE イベントのサポートが追加されました。
  • リモートロギングの設定時に無制限の再試行が許可されました。これにより、クライアントが起動する場合に集約サーバーが実行していない場合でも起動できるようになりました。
  • IPv6 リモートロギングが改善されました。(BZ#1559032)

RPM が監査イベントを提供

この更新により、RPM Package Manager (RPM) が監査イベントを提供するようになりました。ソフトウェアパッケージがインストールまたは更新されたことを示す情報は、Linux Audit システムのシステム解析で重要になります。root ユーザーがパッケージをインストールまたは更新すると、RPMSOFTWARE_UPDATE 監査イベントを作成するようになりました。(BZ#1555326)

SELinux が extended_socket_class をサポート

この更新により、新しい SELinux オブジェクトクラスを多数有効にする extended_socket_class ポリシー機能が導入され、既知のネットワークソケットアドレスファミリーをすべてサポートするようになりました。また、これにより、以前 rawip_socket クラスにマッピングされていた Internet Control Message Protocol (ICMP) ソケットおよび Stream Control Transmission Protocol (SCTP) ソケットに対して別のセキュリティークラスを使用することもできます。(BZ#1564775、BZ#1427553)

mmap() の使用時に selinux-policy がファイルパーミッションを確認

このリリースでは、mmap() システムコールに新しいパーミッションチェックが導入されました。mmap() における別のマップパーミッションチェックは、すべてのアクセスが再検証されるようにする場合に、特定のファイルのメモリーマッピングを禁止するポリシーを許可するために使用します。これは、ランタイム時にファイルを再ラベル化することが期待されるシナリオで、状態変更の反映、たとえばクロスドメインソリューションや、データをコピーしない保証されたパイプラインがない場合に便利です。
この機能はデフォルトで有効になります。また、新しい SELinux ブール値 domain_can_mmap_files が追加されています。domain_can_mmap_files が有効になっていると、すべてのドメインがすべてのファイルの mmap() と、文字デバイスまたはブロックデバイスを使用できます。domain_can_mmap_files が無効になっている場合は、mmap() を使用するドメイン一覧が制限されます。(BZ#1460322)

RHEL7 DISA STIG プロファイルが STIG バージョン 1 リリース 4 に一致

今回の SCAP Security Guide プロジェクトの更新により、RHEL7 の DISA (Defense Information Systems Agency) の STIG (Security Technical Implementation Guide) プロファイルが、STIG バージョン 1 リリース 4 に対して調整されています。特定のルールには自動化チェックが含まれていないか、修正されていません。(BZ#1443551)

Libreswan が、PKCS #7 フォーマットの X.509 証明書をサポート

この更新により、Libreswan 仮想プライベートネットワークアプリケーションが、PKCS#7 フォーマットの X.509 証明書もサポートするようになりました。これにより、Microsoft Windows を実行するシステムとの相互互換性が有効になります。(BZ#1536404)

libreswan がバージョン 3.25 にリベース

libreswan パッケージがアップストリームバージョン 3.25 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
以前は、pfs=no オプションを使用して Perfect Forward Secrecy を禁止し、ESP/AH PFS modp グループ (esp=aes-sha2;modp2048 など) を設定する誤った設定がロードされ、modp 設定を無視していました。この更新により、このような接続がロードされず、ESP DH algorithm MODP2048 is invalid as PFS policy is disabled エラーメッセージが表示されます。(BZ#1591817)

openssl-ibmca がバージョン 2.0.0 にリベース

openssl-ibmca パッケージがアップストリームバージョン 2.0.0 にアップグレードし、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
  • Elliptic-Curve Cryptography (ECC) 機能がサポートされるようになりました。
  • さまざまな OpenSSL バージョンとの互換性が追加されました。
z/VM 6.4 システムで共有 CEX4C アダプターを持つ ECC 機能を使用するために、APAR (Authorized Program Analysis Report) の VM65942 が必要になります。(BZ#1519395)

認証が必要ない場合でも、sudo が PAM スタックを実行

この更新を使用して、sudo ユーティリティーが PAM (Pluggable Authentication Module) アカウント管理モジュールを実行します。ポリシーに NOPASSWD オプションが設定されます。これにより、認証フェーズ外で PAM モジュールにより課せられた確認を有効にします。その結果、pam_time などの PAM モジュールは、上述のシナリオで適切に動作します。(BZ#1533964)

cvtsudoerssudoers フォーマット間で変換

新しい cvtsudoers ユーティリティーは、sudoers セキュリティーポリシーファイルフォーマット間でルールを変換できます。利用可能なオプション一覧と使用例は、man ページ cvtsudoers(1) を参照してください。(BZ#1548380)

SCAP セキュリティーガイドが OSPP v4.2 をサポート

今回の scap-security-guide パッケージの更新により、OSPP (General-Purpose Operating System Protection Profile) v4.2 のコア要件を定義する新しいプロファイルが導入されました。新しいプロファイル ID は ospp42 で、以前リリースしたプロファイル USGCB (United States Government Configuration Baseline) の OSPP v4.0 は ID ospp で利用できます。(BZ#1619689)

selinux-policy に、SELinux ブール値を 5 つ追加

今回の selinux-policy パッケージの更新により、以下の SELinux ブール値が導入されました。
  • keepalived_connect_any - keepalived サービスが任意のポートに接続できる
  • tomcat_use_execmem - Tomcat サーバーがそのスタックを実行できる
  • tomcat_can_network_connect_db - TomcatPosgtreSQL ポートに接続できる
  • redis_enable_notify - redis-sentinel サービスが通知スクリプトを実行できる
  • zabbix_run_sudo - zabbix_agent サービスが sudo ユーティリティーを実行できる (BZ#1443473、BZ#1565226、BZ#1477948、BZ#1421326、BZ#1347052)