5.5. セキュリティー

RHEL 8 に DISA STIG プロファイルが追加されました。

セキュリティー技術実装ガイド (Security Technical Implementation Guide (STIG)) は、DISA (Defense Information Systems Agency) が発行する一連のベースライン推奨事項で、この推奨事項なしでは脆弱となる可能性のある情報システムおよびソフトウェアのセキュリティーを強化します。今回のリリースには、このセキュリティーポリシーのプロファイルおよびキックスタートファイルが含まれます。今回の機能強化により、Red Hat Enterprise Linux 8 のシステムにおけるコンプライアンスの確認、システムの修正、および DISA STIG に準拠するシステムのインストールが可能になります。

(BZ#1755447)

crypto-policies がカスタマイズ可能になりました。

今回の更新で、あらゆるポリシーレベルの特定のアルゴリズムまたはプロトコルを調整することや、現在のシステム全体の暗号化ポリシーとして新しい完全なポリシーファイルを設定することができるようになりました。これにより、管理者はさまざまなシナリオごとに必要に応じて、システム全体の暗号化ポリシーをカスタマイズできます。

RPM パッケージは、それらが提供するポリシーを /usr/share/crypto-policies/policies ディレクトリーに保存する必要があります。/etc/crypto-policies/policies ディレクトリーには、ローカルのカスタムポリシーが含まれます。

詳細は、man ページの update-crypto-policies(8)「Custom Policies」セクション、および man ページの update-crypto-policies(8)「Crypto Policy Definition Format」セクションを参照してください。

(BZ#1690565)

SCAP セキュリティーガイドが ACSC Essential Eight に対応するようになりました。

scap-security-guide パッケージで、Australian Cyber Security Centre (ACSC) Essential Eight 準拠のプロファイルと、これに対応するキックスタートファイルを利用できるようになりました。今回の機能強化により、このセキュリティーベースラインに準拠するシステムをインストールできるようになりました。さらに、ACSC が定義する、この最小セキュリティー制御の仕様を使ってセキュリティーコンプライアンスと修正を確認するために OpenSCAP スイートを利用することができます。

(BZ#1755194)

コンテナーのセキュリティースキャンおよびコンプライアンススキャンを行う oscap-podman が利用できるようになりました。

この openscap パッケージの更新により、コンテナーのセキュリティースキャンおよびコンプライアンススキャン用に新しいユーティリティーが導入されました。oscap-podman ツールが、RHEL 7 におけるコンテナーおよびコンテナーイメージのスキャンを提供する oscap-docker ユーティリティーと同等のものを提供します。

(BZ#1642373)

setroubleshootexecmem アクセス拒否を分析して、これに反応できるようになりました。

今回の更新で、新しい setroubleshoot プラグインが導入されました。このプラグインは execmem のアクセス拒否 (AVC) を分析し、適切なアドバイスを提供できます。その結果、setroubleshoot は、アクセスが許可される場合にはブール値の切り替えを示唆でき、ブール値でアクセスを許可できない場合には問題を報告できるようになりました。

(BZ#1649842)

新しいパッケージ、setools-gui および setools-console-analyses

RHEL 7 に含まれていた setools-gui パッケージが、RHEL 8 に導入されています。グラフィカルツールは、とりわけ特殊な SELinux ポリシーを持つマルチレベルシステムで関係やデータフローを検査する際に役立ちます。setools-gui パッケージの apol グラフィカルツールで、SELinux ポリシーの要素を検査し、分析することができます。setools-console-analyses パッケージのツールを使用すると、ドメイン移行と SELinux ポリシー情報のフローを分析できます。

(BZ#1731519)

SELinux の制限のあるユーザーが、ユーザーセッションサービスを管理できるようになりました。

以前は、制限のあるユーザーはユーザーセッションサービスを管理できませんでした。その結果、systemctl --user コマンドまたは busctl --user コマンドを実行することや、RHEL Web コンソールで作業することができませんでした。今回の更新で、制限のあるユーザーがユーザーセッションを管理できるようになりました。

(BZ#1727887)

lvmdbusd サービスが SELinux で制限されました。

lvmdbusd サービスが D-Bus API を論理ボリュームマネージャー (LVM) に提供します。以前は、lvmdbusd デーモンは、lvm_t の SELinux ポリシーが定義されていても、lvm_t コンテキストに移行することができませんでした。これにより、lvmdbusd デーモンは unconfined_service_t ドメインで実行され、SELinux は lvmdbusd を非制限としてラベル付けしていました。今回の更新で、lvmdbusd 実行ファイルが定義済みの lvm_exec_t コンテキストを持つようになり、強制モードの SELinux で lvmdbusd を正常に使用できるようになりました。

(BZ#1726166)

semanage が、SCTP ポートと DCCP ポートのリッスンと変更をサポートするようになりました。

以前は、semanage port では、リッスンおよび変更ができるのは TCP ポートと UDP ポートのみでした。今回の更新で、SCTP および DCCP プロトコルのサポートが semanage port に追加されています。これにより、管理者は、両マシンが SCTP 経由で通信できるかどうかを確認し、SCTP 機能を完全に有効にして SCTP ベースのアプリケーションを正常にデプロイできるようになりました。

(BZ#1563742)

semanage export が、permissive ドメインに関連するカスタマイゼーションを表示するようになりました。

今回の更新で、semanage ユーティリティー (SELinux の policycoreutils パッケージの一部) が permissive ドメインに関連するカスタマイゼーションを表示できるようになりました。システム管理者が、semanage export コマンドを使用して、マシン間で許容ローカル変更を転送できるようになりました。

(BZ#1417455)

udica が、SELinux の拒否から生成された新しい許可ルールを既存のコンテナーポリシーに追加できるようになりました。

udica ユーティリティーにより生成されたポリシーの下で動作するコンテナーが SELinux の拒否をトリガーする場合、udica がポリシーを更新できるようになりました。新しいパラメーター -a または --append-rules を使用して AVC ファイルからルールを追加できます。

(BZ#1732704)

新しい SELinux タイプが追加され、サービスが制限のある状態で実行できるようになりました。

今回の更新では、新しい SELinux タイプが導入され、unconfined_service_t ドメインで実行するのではなく、以下のサービスが SELinux Enforcing モードで制限のあるサービスとして実行できるようなりました。

  • lldpdlldpad_tとして実行されるようになりました。
  • rrdcached が rrdcached _tとして実行されるようになりました。
  • stratisdstratisd_tとして実行されるようになりました。
  • timedatextimedatex_tとして実行されるようになりました。

(BZ#1726246, BZ#1726255, BZ#1726259, BZ#1730204)

Clevis で、所定の LUKS デバイス用のポリシーを一覧表示できます。

今回の更新で、clevis luks list コマンドが、所定の LUKS デバイス用の PBD ポリシーを一覧表示するようになりました。これにより、使用中の Clevis ピンやピン設定 (Tang サーバーアドレス、tpm2 ポリシーの詳細、SSS しきい値など) に関する情報を簡単に見つけることができます。

(BZ#1766526)

Clevis で、キーのステータスを報告し、期限切れのキーを再バインドする新しいコマンドが提供されます。

clevis luks report コマンドで、特定のバインディングのキーがローテーションを要するかどうかを報告させることが簡単にできるようになりました。Tang サーバーにおける通常のキーローテーションにより、Network-Bound Disk Encryption (NBDE) デプロイメントのセキュリティーが強化されるため、クライアントは期限切れのキーの検出を提供する必要があります。キーの有効期限が切れると、Clevis は clevis luks regen コマンドを使用して現在のキーで期限切れのキースロットを再バインドするよう推奨します。これにより、キーローテーションのプロセスが大幅に簡素化されます。

(BZ#1564559, BZ#1564566)

Clevis が、LUKS デバイスの特定のスロットをバインドするために使用されるパスフレーズを抽出できるようになりました。

Clevis ポリシーベースの復号化フレームワークに対する今回の更新で、LUKS デバイスの特定のスロットをバインドするために使用されるパスフレーズを抽出できるようになりました。以前は、LUKS インストールパスフレーズが消去されると、Clevis は、再暗号化、ユーザーパスフレーズを使った新しいキースロットの有効化、管理者が sss しきい値を変更する必要がある場合の Clevis の再バインドなどの、LUKS 管理タスクを実行できませんでした。今回の更新で、特定のスロットをバインドするために使用されるパスフレーズを示す clevis luks pass コマンドが導入されています。

(BZ#1436780)

Clevis ではシステムの起動時に複数の LUKS デバイスを復号化するサポートを改善されました。

clevis パッケージが更新され、システムの起動時に複数の LUKS 暗号化デバイスを復号するサポートが改善されました。この機能が改善される前は、管理者がシステム設定に複雑な変更を加えて、起動時に Clevis が複数のデバイスを適切に復号化できるようにする必要がありました。今回のリリースでは、clevis luks bind コマンドを使用して復号化を設定し、dracut -fv --regenerate-all コマンドで initramfs を更新できます。

詳細は、「 ポリシーベースの複号を使用して暗号化ボリュームの自動アンロックの設定」を参照 してください。

(BZ#1784524)

openssl-pkcs11 が 0.4.10 にリベースされました。

openssl-pkcs11 パッケージがアップストリームバージョン 0.4.10 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。openssl-pkcs11 パッケージでは、エンジンインターフェースを介した PKCS #11 モジュールへのアクセスが提供されます。新しいバージョンで導入された主な変更点は以下のとおりです。

  • ECDSA 秘密鍵の読み込み時に秘密鍵に対応する公開鍵オブジェクトが利用できない場合、エンジンは一致する証明書 (ある場合) から公開鍵を読み込みます。
  • openssl-pkcs11 エンジンは所定の PKCS #11 URI に一致するすべてのトークンを検索するため、一般的な PKCS #11 URI ( pkcs11:type=publicなど) を使用できます。
  • システムは、単一デバイスが URI 検索と一致する場合にのみ PIN でのログインを試みます。これにより、PIN を一致するすべてのトークンに提供することで、認証の失敗を防ぎます。
  • デバイスへのアクセス時に、openssl-pkcs11 エンジンが、RSA メソッド構造に RSA_FLAG_FIPS_METHOD フラグを付けるようになりました。FIPS モードでは、OpenSSL は、RSA メソッド構造でフラグを設定する必要があります。エンジンは、デバイスが FIPS で認定されているかどうかを検出できないことに留意してください。

(BZ#1745082)

rsyslog が 8.1911.0 にリベースされました。

rsyslog ユーティリティーがアップストリームバージョン 8.1911.0 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。以下は、主な機能強化のリストです。

  • 新しい omhttp モジュールを使用すると、HTTP REST インターフェースを介してメッセージを送信できます。
  • ファイル入力モジュールが強化され、安定性、エラー報告、およびトランケーション検出が改善されています。
  • あらゆるアクションで使用できる新しい action.resumeIntervalMax パラメーターにより、再試行間隔の増加に特定の値の上限を付けることができます。
  • TLS の新しい StreamDriver.PermitExpiredCerts オプションは、証明書が期限切れの場合でも接続を許可します。
  • 設定された外部ファイルのコンテンツに基づいて、出力を一時停止および再開できるようになりました。これは、反対側が常にメッセージを許可するが、すべてのメッセージを処理できない場合には断りなくドロップするという状況で有用です。
  • ファイル出力モジュールのエラー報告が改善され、実際のファイル名と、エラーの原因に関する詳細情報が含まれるようになりました。
  • ディスクキューがマルチスレッドを実行するようになり、パフォーマンスが向上します。
  • さらに厳格な TLS 操作モードを設定できます。extendedKeyUsage 証明書フィールドを確認するモードと、CN/SAN 証明書フィールドをより厳格に確認するモードがあります。

(BZ#1740683)

rsyslog で、HTTP REST インターフェースを介して通信するための omhttp プラグインが提供されるようになりました。

rsyslog パッケージの今回の更新で、Ceph ストレージプラットフォーム、Amazon Simple Storage Service (Amazon S3)、Grafana Loki などの、Representational State Transfer (REST) API を使用するサービスと互換性のある出力を生成する新しい omhttp プラグインを使用できるようになりました。この新しい HTTP 出力モジュールでは、設定可能な REST パスおよびメッセージ形式、複数のバッチ形式のサポート、圧縮、および TLS 暗号化が提供されます。

詳細は、rsyslog-doc パッケージでシステムにインストールされた /usr/share/doc/rsyslog/html/configuration/modules/omhttp.html ファイルを参照してください。

(BZ#1676559)

rsyslogomelasticsearchrebindinterval に対応するようになりました。

rsyslog パッケージの今回の更新で、omelasticsearch モジュールにおける定期的な再接続の時間の設定がサポートされるようになりました。このパラメーターをシナリオに応じて設定すると、Elasticsearch ノードのクラスターにレコードを送信する場合のパフォーマンスを向上させることができます。rebindinterval パラメーターの値は、rsyslog が接続を閉じてから新しい接続を確立するまでにノードに送信された操作の数を示します。デフォルト値の -1 は、rsyslog が接続を再確立していないことを意味します。

(BZ#1692073)

rsyslog mmkubernetes がメタデータキャッシュの有効期限を提供するようになりました。

rsyslog パッケージの今回の更新で、メタデータキャッシュの有効期限を設定するために、mmkubernetes モジュールの 2 つのパラメーターを新しく使用できるようになりました。これにより、削除された Kubernetes オブジェクトは、mmkubernetes 静的キャッシュから確実に削除されます。cacheentryttl パラメーターの値は、キャッシュエントリーの最大期間 (秒単位) を示します。cacheexpireinterval パラメーターの値は、次のとおりです。

  • キャッシュ有効期限チェックを無効にする場合は -1
  • キャッシュ有効期限チェックを有効にする場合は 0
  • 定期的なキャッシュ有効期限チェック (秒単位) の場合は、0 よりも大きい数

(BZ#1692072)

audit がバージョン 3.0-0.14 にリベースされました。

audit パッケージがアップストリームバージョン 3.0-0.14 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主要な変更点は次のとおりです。

  • syslog プラグインのフィールドを解釈するオプションが追加されました。
  • 30-ospp-v42.rules ファイルが、さらに細分されました。
  • サンプルルールが /usr/share/audit/sample-rules/ ディレクトリーに移動しました。
  • リモートロギング用の Audit KRB5 トランスポートモードが修正されました。

(BZ#1757986)

Audit に、カーネル v5.5-rc1 の多くの改善点が含まれるようになりました。

Linux カーネルに対する今回の追加には、Audit サブシステムに関連し、バージョン 4.18 と 5.5-rc1 の間に導入された、多くの機能強化、バグ修正、およびクリーンアップが含まれます。以下のリストは、重要な変更点を抜粋したものです。

  • フィルタリングで exe フィールドの使用を拡大
  • v3 名前空間機能のサポート
  • リモートファイルシステムでのフィルタリングの改善
  • gid フィルタールールの修正
  • メモリー解放後の使用における破損およびメモリーリークの修正
  • イベントレコードの関連付けの改善
  • fanoticy インターフェース、Audit 設定オプション、および syscall インターフェースのクリーンアップ
  • Extended Verification Module (EVM) の戻り値の修正
  • 複数のレコード形式の修正とクリーンアップ
  • 仮想ファイルシステム (VFS) 監査の簡素化および修正

(BZ#1716002)

fapolicyd が 0.9.1-2 にリベースされました。

RHEL アプリケーションのホワイトリスト化を提供する fapolicyd パッケージが、アップストリームバージョン 0.9.1-2 にアップグレードされました。主なバグ修正と機能強化は、以下のとおりです。

  • プロセス ID が修正されました。
  • サブジェクト部分とオブジェクト部分が、ルールで厳密に配置されるようになりました。いずれの部分もコロンで区切られており、必要なパーミッション (execute, open, any) が含まれています。
  • サブジェクト属性とオブジェクト属性が統合されています。
  • 新しいルールの形式は以下のとおりです。

    DECISION PERMISSION SUBJECT : OBJECT

    以下に例を示します。

    allow perm=open exe=/usr/bin/rpm : all

(BZ#1759895)

sudo が 1.8.29-3.el8 にリベースされました。

sudo パッケージがアップストリームバージョン 1.8.29-3 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。新しいバージョンで導入された主な変更点は以下のとおりです。

  • sudo が、利用可能な場合には、標準出力や標準エラー出力ではなく、ユーザー端末に Pluggable Authentication Module (PAM) メッセージを書き出すようになりました。これにより、ファイルおよびパイプに送信された PAM 出力とコマンドの出力の混乱が回避されます。
  • LDAP および SSSD からの notBefore および notAfter オプションが、sudo -l command コマンドで、正常に動作、表示するようになりました。
  • cvtsudoers コマンドが、LDIF から sudoers および JSON 形式への変換時に LDAP Data Interchange Format (LDIF) 以外の入力を拒否するようになりました。
  • sudoers の新しい log_allowed および log_denied 設定を使用すると、許可されたコマンドと拒否されたコマンドのロギングおよび監査を無効にできます。
  • runas_spec 仕様にグループが一切存在しない場合であっても、sudo-g オプションを使用して、ターゲットユーザーグループに一致するグループを指定できるようになりました。以前は、グループがターゲットユーザーのプライマリーグループと一致する場合にのみ、これを実行できました。
  • sudosssd.confipa_hostname の値にホスト名を一致させることを妨げていたバグを修正しました。
  • Runas 仕様が ALL キーワードでの root アクセスを認めていない場合に sudo ユーザーが root としてコマンドを実行できるという脆弱性が修正されました (CVE-2019-14287)。
  • ALL キーワードを使用するなど、許容 sudoers エントリーに対する不明なユーザーおよびグループ ID の使用が無効になりました。runas_allow_unknown_id 設定を使用して有効にできます(CVE-2019-19232)。

(BZ#1733961)

pam_namespace モジュールで tmpfs の追加マウントオプションを指定可能になりました。

/etc/security/namespace.conf 設定ファイルでは、さまざまなオプションが利用できるようになりました。setuid ビットの効果を無効にする nosuid マウントオプション。実行可能ファイルの実行を無効にする noexec マウントオプション。ならびにマウントされた tmpfs ファイルシステムでファイルが文字列またはブロックデバイスとして解釈されるのを防ぐ nodev マウントオプション。

その他のマウントオプションは、tmpfs(5) man ページで指定されています。

(BZ#1252859)

pam_faillock が、faillock.conf 設定ファイルから設定を読み込めるようになりました。

プラグ可能な認証モジュール (PAM) の一部である pam_faillock モジュールが、/etc/security/faillock.conf に位置する設定ファイルから設定を読み込めるようになりました。これにより、faillock.conf ファイルを編集するだけで、認証失敗時にアカウントのロックアウトを設定し、この機能にユーザープロファイルを提供し、さまざまな PAM 設定を処理することが簡単にできるようになります。

(BZ#1537242)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。