Menu Close

3.8. セキュリティー

SCAP セキュリティーガイドで、CIS RHEL 7 Benchmark v2.2.0 に一致するプロファイルを提供

今回の更新により、scap-security-guide パッケージで CIS Red Hat Enterprise Linux 7 Benchmark v2.2.0 に一致するプロファイルが提供されるようになりました。このプロファイルを使用すると、Center for Internet Security (CIS) のガイドラインに従ってシステムの設定を強化できます。このため、CIS Ansible Playbook および CIS SCAP プロファイルを使用して、RHEL 7 システムの CIS への準拠を設定および自動化できます。

CIS プロファイルの rpm_verify_permissions ルールは正常に機能しません。既知の問題の説明 CIS プロファイルで rpm_verify_permissions が失敗する を参照してください。

(BZ#1821633)

SCAP セキュリティーガイドでサービスが適切に無効になる

今回の更新で、SCAP セキュリティーガイド (SSG) プロファイルが、開始すべきでないサービスを適切に無効およびマスクするようになりました。これにより、無効にしたサービスが、別のサービスの依存関係として誤って開始されないことを保証します。この変更を行う前は、U.S などの SSG プロファイルになります。Government Commercial Cloud Services (C2S) プロファイルは、このサービスのみを無効にします。したがって、最初にマスクを解除しない限り、SSG プロファイルで無効にしたサービスを開始できません。

(BZ#1791583)

RHEL 7 STIG セキュリティープロファイルがバージョン V3R1 に更新されました。

RHBA-2020:5451 アドバイザリーで、SCAP Security Guide の DISA STIG for Red Hat Enterprise Linux 7 プロファイルが、最新バージョンの V3R1 に更新されました。今回の更新でさらにカバレッジが追加され、参照の問題が修正されました。このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL7 STIG ベンチマークにより適切に調整されるようになりました。

このプロファイルの古いバージョンが有効でなくなったため、このプロファイルの現行バージョンのみを使用してください。OVAL チェックでいくつかのルールが変更され、V3R1 バージョンを使用したスキャンは、以前のバージョンの SCAP Security Guide を使用して強化されたシステムに対して失敗します。新しいバージョンの SCAP セキュリティーガイドで修正を実行することで、ルールを自動的に修正できます。

警告

自動修正によりシステムが機能しなくなる場合があります。テスト環境で修復を最初に実行します。

以下のルールが変更されました。

CCE-80224-9
この SSHD 設定のデフォルト値が delay から yes に変更になりました。推奨事項に従って値を提供する必要があります。この問題を修正したり、修復を実行して自動修正を実行する方法については、ルールの説明を確認してください。
CCE-80393-2
xccdf_org.ssgproject.content_rule_audit_rules_execution_chcon
CCE-80394-0
xccdf_org.ssgproject.content_rule_audit_rules_execution_restorecon
CCE-80391-6
xccdf_org.ssgproject.content_rule_audit_rules_execution_semanage
CCE-80660-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setfiles
CCE-80392-4
xccdf_org.ssgproject.content_rule_audit_rules_execution_setsebool
CCE-82362-5
xccdf_org.ssgproject.content_rule_audit_rules_execution_seunshare
CCE-80398-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chage
CCE-80404-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chsh
CCE-80410-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_crontab
CCE-80397-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_gpasswd
CCE-80403-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_newgrp
CCE-80411-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_pam_timestamp_check
CCE-27437-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands
CCE-80395-7
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_passwd
CCE-80406-2
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postdrop
CCE-80407-0
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postqueue
CCE-80408-8
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_ssh_keysign
CCE-80402-1
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudoedit
CCE-80401-3
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudo
CCE-80400-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_su
CCE-80405-4
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_umount
CCE-80396-5
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_unix_chkpwd
CCE-80399-9
xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_userhelper

(BZ#1665233)

DISA STIG バージョン v3r3 のプロファイル

Defense Information Systems Agency(DISA)は、RHEL 7 バージョン 3、リリース 3 の Secure Technical Implementation Guide(STIG)の更新バージョンを公開しました。RHBA-2021:2803 アドバイザリーで利用可能です。

  • 既存の xccdf_org.ssgproject.content_profile_stig プロファイル内のすべてのルールを最新の STIG リリースに合わせます。
  • グラフィカルユーザーインターフェース(GUI)で、システムの新しいプロファイル xccdf_org.ssgproject.content_profile_stig_gui を追加します。

(BZ#1958789, BZ#1970131)

scap-security-guide が ANSSI-BP-028 High hardening level プロファイルを提供するようになりました。

RHBA-2021:2803 アドバイザリーのリリースでは、scap-security-guide パッケージが、高強化レベルで ANSSI-BP-028 の更新されたプロファイルを提供します。この追加により、すべての ANSSI-BP-028 v1.2 強化レベルでプロファイルの可用性を完了します。更新されたプロファイルを使用すると、高強化レベルでの GNU/Linux システムのフランス語の National Security Agency(ANSSI)の推奨事項に準拠するようにシステムを設定できます。

これにより、ANSSI Ansible Playbook および ANSSI SCAP プロファイルを使用し、必要な ANSSI 強化レベルに従って、RHEL 7 システムのコンプライアンスを設定および自動化できます。以前のバージョンで提供される Draft ANSSI High プロファイルは、ANSSI DAT-NT-028 に合わせて調整されました。プロファイル名とバージョンが変更になりましたが、xccdf _org.ssgproject.content_profile_anssi_nt28_high などの ANSSI プロファイルの ID は、後方互換性を確保するために同じままになります。

警告
自動修正によりシステムが機能しなくなる場合があります。Red Hat は、最初にテスト環境で修復を実行することを推奨します。

(BZ#1955180)