Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第16章 セキュリティー
Clevis が TPM 2.0 に対応するようになりました。
今回の更新で、PBD(Policy-Based Decryption)の
Clevis プラグインフレームワークも、Trusted Platform Module 2.0(TPM 2.0)チップを使用して暗号化するクライアントをサポートするようになりました。詳細と、可能な設定プロパティーの一覧は、man ページの clevis-encrypt-tpm2(1) を参照してください。
この機能は、64 ビット Intel アーキテクチャーまたは 64 ビット AMD アーキテクチャーを持つシステムでのみ利用できます。(BZ#1472435)
gnutls が 3.3.29 にリベースされました。
GNU Transport Layer Security(GnuTLS)ライブラリーがアップストリームバージョン 3.3.29 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な変更点です。
- ハードウェアセキュリティーモジュール(HSM)の PKCS#11 暗号化トークンインターフェースが改善されました。特定の Atos HSM で
p11toolおよび固定キーインポートに DSA サポートが追加されました。 - TLS Cipher Block Chaining(CBC)レコードパディングのカウンター測定が改善されました。以前のカウンターの測定には特定の問題があり、攻撃者が CPU キャッシュにアクセスでき、選択されたプレーンテキスト攻撃(CPA)を実行した際に不十分でした。
- デフォルトでは、レガシーの
HMAC-SHA384暗号化スイートが無効になっています。(BZ#1561481)
OpenSSL での AES-GCM の操作がより IBM z14 で高速になりました。
今回の更新で、IBM z14 システムで、新しい CP Assist for Cryptographic Functions(CPACF)命令を使用した暗号化操作の追加サポートが導入されました。その結果、
OpenSSL ライブラリーで AES-GCM 操作の実行が、IBM z14 以降のハードウェアでより迅速に実行されるようになりました。(BZ#1519396)
sudo がバージョン 1.8.23 にリベースされました。
sudo パッケージがアップストリームバージョン 1.8.23 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
- 新しい
cvtsudoersユーティリティーは、sudoers2ldif スクリプトと visudo -x 機能の両方を置き換えます。これは、sudoers または LDIF 形式のファイルを読み込み、JSON、LDIF、または sudoers 出力を生成します。ユーザー、グループ、またはホスト名で生成された出力ファイルをフィルターすることもできます。 - always_query_group_plugin オプションは、デフォルトの
/etc/sudoersファイルに明示的に設定されるようになりました。以前のバージョンからアップグレードし、古い group-querying 動作を維持するユーザーは、アップグレード後にこの設定が有効であることを確認する必要があります。 - PAM アカウント管理モジュールは、パスワードが必要なない場合でも実行されるようになりました。
- 新しい case_insensitive_user オプションおよび case_insensitive_group
sudoersオプションにより、sudo が sudoers のユーザーおよびグループで大文字と小文字を区別するかどうかを制御できます。大文字と小文字を区別しないマッチングがデフォルトになりました。 - コマンドラインで
runasユーザーを空の文字列として指定するエラーになりました。以前のバージョンでは、空のrunasユーザーは、指定されていないrunasユーザーと同じように処理されていました。 - iolog_user または iolog_group オプションが
sudoersに設定されていない限り、デフォルトでグループID 0で I/O ログファイルが作成されます。 - env_delete 一覧から
*=()*パターンを削除して、env_resetsudoers設定を無効にする環境で bash シェル関数を保存できるようになりました。(BZ#1547974)
usbguard がバージョン 0.7.4 にリベースされました。
usbguard パッケージがアップストリームバージョン 0.7.4 にリベースされました。このバージョンでは、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は以下のとおりです。
usbguard-daemonは、ロギングファイルまたは監査イベントファイルを開くことができない場合に、エラーを出して終了するようになりました。- 提示されているデバイスの列挙アルゴリズムが、信頼性が向上しました。列挙タイムアウトにより
usbguard-daemonプロセスが終了しなくなりました。 - usbguard watch コマンドには、受信したすべてのイベントに対して実行可能な実行を実行するための -e オプションが追加されました。イベントデータは環境変数を使用して実行可能ファイルに渡されます。(BZ#1508878)
audit が 2.8.4 にリベースされました。
audit パッケージがアップストリームバージョン 2.8.4 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。以下は、主な変更点です。
- 内部状態のダンプのサポートを追加service auditd state コマンドを実行して、
Auditデーモンの情報を表示します。 rpmおよびyumツールで生成されたSOFTWARE_UPDATEイベントのサポートを追加- リモートロギングの起動時に許可される再試行数。これは、クライアントの起動時に集約サーバーが実行されていない場合でも起動するのに役立ちます。
- IPv6 リモートロギングが改善されました。(BZ#1559032)
RPM が監査イベントを提供するようになりました。
今回の更新で、
RPM Package Manager (RPM)が監査イベントを提供するようになりました。ソフトウェアパッケージがインストールまたは更新される情報は、Linux Audit システムを使用したシステム分析に重要です。RPM は、root ユーザーがパッケージをインストールまたはアップグレードされるたびに、SOFTWARE_UPDATE 監査イベントを作成するようになりました。(BZ#1555326)
SELinux が extended_socket_classに対応
今回の更新で、多くの新しい SELinux オブジェクトクラスが既知のネットワークソケットアドレスファミリーをすべてサポートする
extended_socket_class ポリシー機能が導入されました。また、以前は rawip_socket クラスにマッピングされていた Internet Control Message Protocol(ICMP)および SCTP(Stream Control Transmission Protocol)ソケットに個別のセキュリティークラスを使用することもできます。(BZ#1564775, BZ#1427553)
mmap() の使用時に selinux-policy がファイルのパーミッションをチェックするようになりました。
本リリースでは、
mmap() システムコールに新しいパーミッションチェックが追加されました。mmap() での個別のマップパーミッションチェックの目的は、ポリシーによる特定ファイルのメモリーマッピングを禁止することです。これは、たとえばドメイン間のソリューションや、データのコピーなしで発行したパイプラインなどで、ランタイム時にファイルの再ラベル付けを期待する場合に便利です。
この機能はデフォルトで有効になっています。また、新しい SELinux ブール値
domain_can_mmap_files が追加されました。domain_can_mmap_files を有効にすると、すべてのドメインはファイル、キャラクターデバイス、ブロックデバイスで mmap() を使用できます。domain_can_mmap_files が無効になっていると、mmap( )が使用できるドメインの一覧が制限されます。(BZ#1460322)
RHEL7 DISA STIG プロファイルが STIG Version 1 リリース 4 と一致するようになりました。
SCAP Security Guide プロジェクトの今回の更新で、RHEL7 Defense Information Systems Agency(DISA)Security Technical Implementation Guide(STIG)プロファイルが STIG Version 1, Release 4 と連携しています。特定のルールには自動チェックや修正が含まれないことに注意してください。(BZ#1443551)
Libreswan が PKCS #7- 形式の X.509 証明書に対応
今回の更新で、
Libreswan Virtual Private Network アプリケーションも PKCS #7- 形式の X.509 証明書に対応するようになりました。これにより、Microsoft Windows を実行しているシステムとの相互運用性が可能になります。(BZ#1536404)
Libreswan がバージョン 3.25 にリベースされました。
libreswan パッケージがアップストリームバージョン 3.25 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
以前は、pfs=no オプションで Perfect Forward Secrecy を禁止し、ESP/AH PFS
modp グループ( esp=aes-sha2;modp2048など)を設定すると誤った設定が読み込まれ、modp 設定を無視していました。今回の更新により、PFS ポリシーがエラーメッセージが無効であるため、これらの接続は ESP DH アルゴリズム MODP2048 は無効になって います。(BZ#1591817)
openssl-ibmca がバージョン 2.0.0 にリベースされました。
openssl-ibmca パッケージがアップストリームバージョン 2.0.0 にアップグレードされ、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。
- Elliptic-Curve Cryptography(ECC)機能がサポートされるようになりました。
- さまざまな
OpenSSLバージョンとの互換性が増やされました。
z/VM 6.4 システムの共有 CEX4C アダプターで ECC 機能を使用するには、Authorized Program Analysis Report(APAR)VM65942 が必要です。(BZ#1519395)
sudo が認証が必要ない場合でも PAM スタックを実行するようになりました。
今回の更新で、
sudo ユーティリティーは、ポリシーで NOPASSWD オプションが設定されている場合でも、PAM(Pluggable Authentication Module)アカウント管理モジュールを実行します。これにより、認証フェーズ外で PAM モジュールに課せられた制限を確認できるようになります。その結果、上記のシナリオで pam_time などの PAM モジュールが正しく動作するようになりました。(BZ#1533964)
cvtsudoers が、異なる sudoers 形式間で変換
新しい
cvtsudoers ユーティリティーを使用すると、管理者は異なる sudoers セキュリティーポリシーファイル形式間でルールを変換できます。利用可能なオプションの一覧と使用例は、cvtsudoers(1) の man ページを参照してください。(BZ#1548380)
SCAP セキュリティーガイドが OSPP v4.2 に対応
scap-security-guide パッケージの今回の更新で、OSPP(General-Purpose Operating System Protection Profile)v4.2 のコア要件を定義する新しいプロファイルが導入されました。新しいプロファイル ID は
ospp42 で、以前リリースされたプロファイル USGCB(United States Government Configuration Baseline)OSPP v4.0 は ID ospp で利用できます。(BZ#1619689)
selinux-policy に追加の SELinux ブール値が 5 つ追加
selinux-policy パッケージの今回の更新で、以下の SELinux ブール値が導入されました。
keepalived_connect_any:keepalivedサービスが任意のポートに接続できるようにします。tomcat_use_execmem:Tomcatサーバーがスタックを実行可能な状態にすることができます。tomcat_can_network_connect_db-TomcatはPosgtreSQLポートに接続できます。redis_enable_notify:redis-sentinelサービスが通知スクリプトを実行することを許可します。