Menu Close

7.10. セキュリティー

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。

(BZ#1375750)

pk12util で、RSA-PSS 鍵を使用した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。

対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は、鍵をインポートするときに無視されることに注意してください。詳細は、MZBZ#1413596 を参照してください。

(BZ#1431210)

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。

  • --pss オプションのドキュメントが作成されている。
  • 証明書で RSA-PSS の使用が制限されている場合は、自己署名で PKCS#1 v1.5 アルゴリズムが使用されなくなった。
  • subjectPublicKeyInfo フィールドの空の RSA-PSS パラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。
  • RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する --pss-sign オプションが追加された。

certutil で、RSA-PSS で署名した証明書のサポートがテクノロジープレビューとして利用できます。

(BZ#1425514)

NSS が、証明書の RSA-PSS 署名を確認可能

nss パッケージの RHEL 7.5 バージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。

この機能には、以下の制限があります。

  • /etc/pki/nss-legacy/rhel7.config ファイルのアルゴリズムポリシー設定は、RSA-PSS 署名で使用されるハッシュアルゴリズムに適用されます。
  • 証明書チェーン間で RSA-PSS パラメーター制約が無視され、証明書は 1 つだけ考慮されます。

(BZ#1432142)

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。

ナレッジベースアーティクル「Blocking USB devices while the screen is locked」を参照してください。

(BZ#1480100)