4.11. セキュリティー

SCAP セキュリティーガイド が SPP 4.2.1 プロファイルおよび NCP プロファイルを提供

OSPP (Protection Profile for General Purpose Operating Systems) プロファイルが更新され、OSPP 4.2.1 ベースラインに準拠するようになりました。ospp42 ID を持つプロファイルが OSPP プロファイルに統合されました。ospp42 は有効な ID ではなくなったため、管理者は ospp42 プロファイルを使用してシステムを ospp に切り替える必要があります。

また、ncp ID を使用する NCP (NIST National Checklist Program Security Guide) プロファイルが導入されました。NCP プロファイルは OSPP 4.2.1 に準拠し、追加のポリシーの設定要件を実装します。特に、CNSSI 1253、NIST 800-171、NIST 800-53、USGCB、および OS SRG です。

(BZ#1691336)

SCAP セキュリティーガイドが ACSC Essential Eight に対応

scap-security-guide パッケージで、Australian Cyber Security Centre (ACSC) Essential Eight 準拠のプロファイルと、これに対応するキックスタートファイルを利用できるようになりました。今回の機能強化により、このセキュリティーベースラインに準拠するシステムをインストールできるようになりました。さらに、OpenSCAP スイートを使用して、ACSC で定義された最小限のセキュリティー制御に関するこの仕様を使用して、セキュリティーのコンプライアンスおよび修復を確認できます。

(BZ#1755192)

SCAP セキュリティーガイド でサービスが適切に無効になる

今回の更新で、SCAP セキュリティーガイド (SSG) プロファイルが、開始すべきでないサービスを適切に無効およびマスクするようになりました。これにより、無効にしたサービスが、別のサービスの依存関係として誤って開始されないことを保証します。この変更を行う前は、U.S などの SSG プロファイルになります。Government Commercial Cloud Services (C2S) プロファイルは、このサービスのみを無効にします。したがって、最初にマスクを解除しない限り、SSG プロファイルで無効にしたサービスを開始できません。

(BZ#1791583)

SCAP Security Guide がバージョン 0.1.46 にリベース

SCAP Security Guide (SSG) パッケージがバージョン 0.1.46 にアップグレードし、以前のバージョンに拡張機能およびバグ修正が追加されました。主な変更は以下のとおりです。

  • SSG が、SCAP 1.3 標準仕様に準拠したガイドラインに従うコンテンツを提供するようになりました。1.3 データストリームは、OpenSCAP との互換性があり、デフォルトで使用されます。

このデータは /usr/share/xml/scap/ssg/content/ssg-rhel7-ds-1.2.xml パスに移動したため、SCAP 1.2 データストリームを使用する必要がある場合は -1.2 の接尾辞が付いたコンテンツを引き続き使用できます。新しい 1.3 データストリームは通常のパスにあります。

(BZ#1726698)

SCAP セキュリティーガイドが RHEL 7 からの RHEL 8 システムのスキャンに対応

scap-security-guide パッケージに RHEL 8 用の SCAP コンテンツと、Ansible Playbook が追加されました。これにより、RHEL 7 環境から RHEL 8 システムおよびコンテナーをスキャンできます。

(BZ#1777862)

selinux-policy で、tomcat プロセスが redis データベースに接続可能

selinux-policy パッケージの今回の更新で、SELinux ブール値 tomcat_can_network_connect_db が有効な場合に、tomcat_t ドメインが redis_port_t と名前の付いたポートに接続することを許可するルールが導入されました。このブール値を使用して tomcat_t が複数のデータベースにアクセスできるようになりますが、redis プロセスではサポートされていませんでした。

(BZ#1687497)

sysadm_u ユーザーがグラフィカルセッションにログイン可能

以前は、sysadm_u SELinux ユーザーにマッピングされた Linux ユーザーは、グラフィカルセッションにログインできませんでした。SELinux ポリシーが更新され、このようなユーザーが DISA STIG 要件に準拠しながらグラフィカルセッションを使用できるようになりました。xdm_sysadm_login ブール値を有効にすると、sysadm_u ユーザーは、GNOME Display Manager から X Window System セッションに正常にログインできるようになりました。

(BZ#1727379)