3.9. セキュリティー

SCAP セキュリティーガイドで、CIS RHEL 7 Benchmark v2.2.0 に一致するプロファイルを提供

今回の更新により、scap-security-guide パッケージで CIS Red Hat Enterprise Linux 7 Benchmark v2.2.0 に一致するプロファイルが提供されるようになりました。このプロファイルを使用すると、Center for Internet Security (CIS) のガイドラインに従ってシステムの設定を強化できます。このため、CIS Ansible Playbook および CIS SCAP プロファイルを使用して、RHEL 7 システムの CIS への準拠を設定および自動化できます。

CIS プロファイルの rpm_verify_permissions ルールは正常に機能しません。既知の問題の説明 CIS プロファイルで rpm_verify_permissions が失敗する を参照してください。

(BZ#1821633)

SCAP セキュリティーガイド でサービスが適切に無効になる

今回の更新で、SCAP セキュリティーガイド (SSG) プロファイルが、開始すべきでないサービスを適切に無効およびマスクするようになりました。これにより、無効にしたサービスが、別のサービスの依存関係として誤って開始されないことを保証します。この変更を行う前は、U.S などの SSG プロファイルになります。Government Commercial Cloud Services (C2S) プロファイルは、このサービスのみを無効にします。したがって、最初にマスクを解除しない限り、SSG プロファイルで無効にしたサービスを開始できません。

(BZ#1791583)

RHEL 7 STIG セキュリティープロファイルがバージョン V3R1 に更新されました。

RHBA-2020:5451 アドバイザリーで、SCAP Security Guide の DISA STIG for Red Hat Enterprise Linux 7 プロファイルが、最新バージョンの V3R1 に更新されました。今回の更新でさらにカバレッジが追加され、参照の問題が修正されました。このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL7 STIG ベンチマークにより適切に調整されるようになりました。

このプロファイルの古いバージョンが有効でなくなったため、このプロファイルの現行バージョンのみを使用してください。OVAL チェックでいくつかのルールが変更され、V3R1 バージョンを使用したスキャンは、以前のバージョンの SCAP Security Guide を使用して強化されたシステムに対して失敗します。新しいバージョンの SCAP セキュリティーガイドで修正を実行することで、ルールを自動的に修正できます。

警告

自動修正によりシステムが機能しなくなる場合があります。テスト環境で修復を最初に実行します。

以下のルールが変更されました。

CCE-80224-9
この SSHD 設定のデフォルト値が delay から yes に変更になりました。推奨事項に従って値を提供する必要があります。この問題を修正したり、修復を実行して自動修正を実行する方法については、ルールの説明を確認してください。
CCE-80393-2
xccdf_org.ssgproject.content_rule_audit_rules_execution_chcon
CCE-80394-0
xccdf_org.ssgproject.content_rule_audit_rules_execution_restorecon
CCE-80391-6
xccdf_org.ssgproject.content_rule_audit_rules_execution_semanage
CCE-80660-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setfiles
CCE-80392-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setsebool
CCE-82362-5
xccdf_org.ssgproject.content_rule_audit_rules_execution_seunshare
CCE-80398-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chage
CCE-80404-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chsh
CCE-80410-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_crontab
CCE-80397-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_gpasswd
CCE-80403-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_newgrp
CCE-80411-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_pam_timestamp_check
CCE-27437-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands
CCE-80395-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_passwd
CCE-80406-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postdrop
CCE-80407-0
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postqueue
CCE-80408-8
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_ssh_keysign
CCE-80402-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudoedit
CCE-80401-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudo
CCE-80400-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_su
CCE-80405-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_umount
CCE-80396-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_unix_chkpwd
CCE-80399-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_userhelper

(BZ#1665233)

DISA STIG バージョン v3r3 のプロファイル

国防情報システム局 (DISA) は、RHEL 7 バージョン 3、リリース 3 の Secure Technical Implementation Guide (STIG) の更新版を公開しました。RHBA-2021:2803 アドバイザリーで利用可能な更新:

  • 既存の xccdf_org.ssgproject.content_profile_stig プロファイル内のすべてのルールを最新の STIG リリースに合わせます。
  • グラフィカルユーザーインターフェイス (GUI) を備えたシステム用の新しいプロファイル xccdf_org.ssgproject.content_profile_stig_gui を追加します。

(BZ#1958789, BZ#1970131)

scap -security-guide が ANSSI-BP-028 High hardening level プロファイルを提供するように

RHBA-2021:2803 アドバイザリーのリリースでは、scap-security-guide パッケージは、高度な強化レベルで更新された ANSSI-BP-028 プロファイルを提供します。この追加により、すべての ANSSI-BP-028 v1.2 強化レベルのプロファイルが利用可能になります。更新されたプロファイルを使用して、高度な強化レベルの GNU/Linux システムに関するフランス国家安全保障局 (ANSSI) の推奨事項に準拠するようにシステムを設定できます。

これにより、ANSSI Ansible Playbook および ANSSI SCAP プロファイルを使用し、必要な ANSSI 強化レベルに従って、RHEL 7 システムのコンプライアンスを設定および自動化できます。以前のバージョンで提供された Draft ANSSI High profile は、ANSSI DAT-NT-028 に準拠しています。プロファイル名とバージョンが変更されましたが、xccdf_org.ssgproject.content_profile_anssi_nt28_high などの ANSSI プロファイルの ID は、後方互換性を確保するために同じままです。

警告
自動修正によりシステムが機能しなくなる場合があります。Red Hat は、テスト環境で修復を最初に実行することを推奨します。

BZ#1897179

RHEL 8 STIG プロファイルが DISA STIG コンテンツにより適切に調整されるようになりました。

scap-security-guide (SSG)パッケージで利用可能な DISA STIG for Red Hat Enterprise Linux 7 プロファイル (xccdf_org.ssgproject.content_profile_stig) を使用して、アメリカ国防情報システム局 (DISA) による Security Technical Implementation Guides (STIG) に従ってシステムを評価できます。SSG のコンテンツを使用してシステムを修復できますが、DISA STIG 自動コンテンツを使用してシステムを評価する必要がある場合があります。RHBA-2022:6576 アドバイザリーのリリースにより、DISA STIG RHEL 7 プロファイルが DISA のコンテンツに合わせて適切に調整されました。これにより、SSG 修復後に DISA コンテンツに対する調査結果が少なくなります。

以下のルールの評価は引き続き異なる点に注意してください。

  • SV-204511r603261_rule - CCE-80539-0 (auditd_audispd_disk_full_action)
  • SV-204597r792834_rule - CCE-27485-2 (file_permissions_sshd_private_key)

また、DISA の RHEL 7 STIG からのルール SV-204405r603261_rule は、SSG RHEL 7 STIG プロファイルでは対応していません。

(BZ#1967950)

SCAP ルール audit_rules_for_ospp に追加された大規模システムの監査ログバッファーを設定するための警告メッセージ

SCAP ルール xccdf_org.ssgproject.content_rule_audit_rules_for_ospp は、このルールによって設定された監査ログバッファーが小さすぎてカスタム値を上書きできる大規模システムのパフォーマンス警告を表示するようになりました。この警告は、より大きな監査ログバッファーを設定するプロセスについても説明しています。RHBA-2022:6576 アドバイザリーのリリースでは、大規模なシステムに準拠し、監査ログバッファーを正しく設定することができます。

(BZ#1993822)