8.7. セキュリティー

Libreswan が、すべての設定において seccomp=enabled で正常に動作しません。

Libreswan SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf ファイルで有効となっている場合、syscall のフィルタリングは、pluto デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec サービスが再起動されます。

この問題を回避するには、seccomp= オプションを設定して、disabled 状態に戻します。SECCOMP サポートは、ipsec を正常に実行するため、無効のままにしておく必要があります。

(BZ#1544463)

TLS 1.3 で RSA-PSS に対応しない PKCS#11 デバイスを使用できない

TLS プロトコルバージョン 1.3 には、ハードウェアセキュリティーモジュール(HSM)やスマートカードなど、すべての PKCS#11 デバイスで対応していない RSA-PSS 署名が必要です。現在、NSS を使用するサーバーアプリケーションは、TLS 1.3 を否定する前に PKCS#11 モジュール機能をチェックしません。これにより、RSA-PSS に対応していない PKCS#11 デバイスを使用した認証に失敗します。この問題を回避するには、代わりに TLS 1.2 を使用します。

(BZ#1711438)

TLS 1.3 は、FIPS モードの NSS で動作しません。

TLS 1.3 は、FIPS モードで動作しているシステムでは対応していません。そのため、相互運用性に TLS 1.3 を必要とする接続が、FIPS モードで動作しているシステムで機能しません。

その接続を有効にするには、システムの FIPS モードを無効にするか、ピアで TLS 1.2 のサポートを有効にします。

(BZ#1710372)

OpenSCAP がリモートファイルシステムに誤ったアクセス

OpenSCAP スキャナーは、スキャンされたファイルシステムがマウントされたリモートファイルシステムかローカルファイルシステムであるかを正しく検出できず、検出部分に他のバグも含まれている。したがって、スキャナーは、評価されるルールがローカルファイルシステムにのみ適用される場合でも、マウントされたリモートファイルシステムを読み取り、リモートファイルシステムで不要なトラフィックを生成する可能性があります。

この問題を回避するには、スキャン前にリモートファイルシステムのマウントを解除します。別のオプションとして、テーラリングファイルを指定して評価されたプロファイルから影響を受けるルールを除外することもできます。

(BZ#1694962)