Menu Close

6.5. セキュリティー

再帰的な依存関係による OpenSCAP のクラッシュを回避

systemd ユニットには依存ユニットを含めることができるため、OpenSCAP スキャンで循環依存関係が発生し、その結果、スキャンが予期せずに終了することがありました。今回の更新で、以前分析されたユニットは OpenSCAP で分析されなくなりました。そのため、循環依存関係の場合も、スキャンが有効な結果で完了するようになりました。

(BZ#1478285)

OpenSCAP スキャナー結果に多数の SELinux コンテキストエラーメッセージが含まれなくなりました

以前は、OpenSCAP スキャナーは、SELinux コンテキストを取得できない場合、本当のエラーではない状況であっても、ERROR レベルでそれを記録していました。そのため、スキャナー結果には多数の SELinux コンテキストエラーメッセージが含まれ、oscap コマンドラインユーティリティーと SCAP Workbench グラフィカルユーティリティー両方の出力を読み取ることが困難でした。openscap パッケージが修正され、スキャナー結果に多数の SELinux コンテキストエラーメッセージが含まれることがなくなりました。

(BZ#1640522)

audit_rules_privileged_commands が特権コマンドに対して正常に機能するようになりました

scap-security-guide パッケージの audit_rules_privileged_commands ルールの修正は、コマンド名の解析における特別なケースに対応していませんでした。また、特定のルールの順序付けにより、正常な修正が妨げられていました。そのため、ルールの特定の組み合わせが修正されたことが報告されていましたが、連続するスキャンでは、ルールが再度失敗として報告されていました。今回の更新で、ルール内の正規表現とルールの順序付けが改善されました。その結果、修正後に、特権コマンドはすべて適切に監査されます。

(BZ#1691877)

SCAP セキュリティーガイドでルールの説明が更新されました

対応しているすべての RHEL バージョンで、デフォルトのカーネルパラメーターを確実に判断することはできないため、カーネルパラメーターの設定を確認する際は、常に明示的な設定が必要となります。設定ガイドのテキストには、デフォルトのバージョンが準拠している場合は明示的な設定が不要であるという誤った記述がありました。今回の更新で、scap-security-guide パッケージのルールの記述に、コンプライアンス評価と対応する修正が正しく記載されるようになりました。

(BZ#1494606)

configure_firewalld_rate_limiting によって接続を正しくレート制限

サービス拒否 (DoS) 攻撃からシステムを保護する configure_firewalld_rate_limiting ルールは、以前は全トラフィックを受け入れるようにシステムを設定していました。今回の更新で、このルールが修正され、システムで接続が正しく速度制限されるようになりました。

(BZ#1609014)

dconf_gnome_login_banner_text が誤って失敗することがなくなりました

以前のバージョンでは、scap-security-guide パッケージの dconf_gnome_login_banner_text ルールの修正は、設定のスキャンが失敗した後に失敗していました。そのため、予想した結果と一致しないログインバナー設定が修正によって適切に更新されませんでした。今回の更新で、Bash および Ansible の修正の信頼性が向上し、OVAL 標準を使用して実装された設定チェックと連携するようになりました。その結果、修正が適切に機能するようになり、修正後にルールが失敗することがなくなりました。

(BZ#1776780)

scap-security-guide Ansible 修正に、以下の引数が含まれなくなりました

今回の更新以前は、scap-security-guide Ansible 修正に、replace モジュールの follow 引数が含まれている可能性がありました。その後は Ansible 2.5 で非推奨となり、Ansible 2.10 で削除されます。このような修正を使用するとエラーが発生しました。RHBA-2021:1383 アドバイザリーのリリースで は、引数が削除されました。これにより、scap-security-guide による Ansible Playbook は Ansible 2.10 で適切に機能します。

(BZ#1890111)

postfix 固有のルールがインストールされていない場合に失敗しなくなりました。

以前は、SCAP Security Guide(SSG)は、システムにインストールされた postfix パッケージとは独立して、Postfix 固有のルールを評価していました。これにより、SSG は、適用できない のではなく、Postfix 固有のルールが 失敗していましたRHBA-2021:4781 アドバイザリーのリリース により、SSG は postfix パッケージがインストールされている場合にのみ Postfix 固有のルールを正しく評価し、postfix パッケージがインストールされていないと報告しません。

(BZ#1942281)

Service Disabled ルールはあいまいな状態になる

以前のバージョンでは、SCAP Security Guide の Service Disabled タイプのルールの説明では、サービスを無効化およびマスクするオプションが提供されましたが、ユーザーがサービスを無効にするか、マスクするか、またはその両方を行うのかを指定しませんでした。

RHBA-2021:1383 アドバイザリー、ルールの説明、修正、および OVAL チェックのリリースでは、ユーザーがサービスを無効にして無効にする必要があることをユーザーに通知しました。

(BZ#1891435)

scap-security-guide GNOME dconf ルールの Ansible 修正を修正

以前のバージョンでは、GNOME dconf 設定システムに関する一部のルールに対する Ansible の修正は、対応する OVAL チェックと合致しませんでした。その結果、Ansible は以下のルールを誤って修正し、後続のスキャン で失敗した ものとしてマークしました。

  • dconf_gnome_screensaver_idle_activation_enabled
  • dconf_gnome_screensaver_idle_delay
  • dconf_gnome_disable_automount_open

RHBA-2021:4781 アドバイザリーでリリースされ、Ansible の正規表現が修正されました。これにより、これらのルールは dconf 設定で正しく修正されます。

(BZ#1976123)

応答しない PMDA の PCP による再起動が SELinux によって阻止されなくなりました

以前のリリースでは、pcp_pmie_t プロセスが Performance Metric Domain Agent (PMDA) と通信できるようにするルールが SELinux ポリシーにありませんでした。そのため、応答しない PMDA を再起動する pmsignal プロセスが SELinux によって拒否されました。今回の更新で、不足していたルールがポリシーに追加され、Performance Co-Pilot (PCP) が応答しない PMDA を再起動できるようになりました。

(BZ#1770123)

auditd によるシステムの停止や電源オフが SELinux によって阻止されなくなりました

以前のバージョンでは、SELinux ポリシーに、Audit デーモンが power_unit_file_t systemd ユニットを起動できるようにするルールがありませんでした。したがって、Logging ディスクパーティションに領域が残っていない場合などに auditd がシステムの停止や電源オフを行うことができるように設定されていても、これを行うことができませんでした。

今回の更新で、不足していたルールが SELinux ポリシーに追加されました。これにより、auditd がシステムの停止や電源オフを行うことができるようになりました。

(BZ#1780332)

chronyd サービスが SELinux でシェルを実行できるように

以前のリリースでは、 chronyd_t で実行中の chronyd プロセスでは、SELinux ポリシーで chronyd によるシェルの実行を拒否していたため、chrony-helper のシェルスクリプトを実行できませんでした。今回の更新では、SELinux ポリシーで、chronyd プロセスが shell_exec_t のラベルが付いたシェルの実行を許可するようになりました。そのため、chronyd サービスは、Multi-Level Security (MLS) ポリシーで正常に起動します。

(BZ#1775573)

Tang のキャッシュの確実な更新

Tang アプリケーションで鍵が生成されると (初回インストール時に) Tang ではそのキャッシュが更新されます。以前のバージョンでは、このプロセスは信頼できず、Tang 鍵を反映するようにアプリケーションキャッシュが正しく更新されていませんでした。このため、clevis で Tang ピンを使用する際に問題が生じ、クライアントに Key derivation key not available というエラーメッセージが表示されていました。今回の更新で、鍵の生成およびキャッシュ更新ロジックが Tang に移動され、依存関係を監視するファイルが削除されました。その結果、キャッシュの更新後もアプリケーションキャッシュは正しい状態のままになります。

(BZ#1703445)