Menu Close

7.4. セキュリティー

明示的に信頼される場合、GnuTLS は SHA-1で署名された CA を拒否しなくなりました。

以前は、CA が明示的に信頼できる場合でも、GnuTLS ライブラリーはすべての認証局(CA)の署名ハッシュの強度をチェックしていました。そのため、SHA-1 アルゴリズムで署名された CA を含むチェーンは、エラーメッセージcertificate’s signature hash strength is unacceptableと共に拒否されました。今回の更新で、GnuTLS は署名ハッシュの強度チェックから信頼される CA を除外するため、弱いアルゴリズムを使用して署名されているCA を含む証明書チェーンでも拒否しなくなりました。

(BZ#1965445)

FIPSモードでハードウェア最適化が有効

これまでのFederal Information Processing Standard(FIPS 140-2)では、ハードウェアの最適化を使用することは認められていませんでした。そのため、FIPSモードの場合、libgcryptパッケージではこの操作が無効になっていました。今回の更新により、FIPSモードでのハードウェアの最適化が可能になり、その結果、すべての暗号処理が高速に実行されるようになりました。

(BZ#1976137)

leftikeport オプションおよび rightikeport オプションが正しく機能する

以前は、Libreswan は、ホスト間の Libreswan 接続では leftikeport オプションと rightikeport オプションを無視していました。これにより、Libreswam は、デフォルト以外のオプション設定にかかわらず、デフォルトのポートを使用していました。今回の更新で問題が修正され、デフォルトオプションの leftikeport および rightikeport 接続オプションを使用できるようになりました。

(BZ#1934058)

SELinux ポリシーにより GDM が GRUB boot_success フラグを設定できなかった

以前は、SELinux ポリシーにより、パワーオフおよび再起動操作時に、GNOME Display Manager(GDM)は GRUB boot_success フラグを設定できませんでした。その結果、GRUB メニューが次回の起動時に表示されました。今回の更新で、SELinux ポリシーで、GDM が GRUB boot_success フラグを設定できる新しい xdm_exec_bootloader ブール値(デフォルトで有効)が導入されました。これにより、初回ブートで GRUB ブートメニューが表示され、フリッカーのない起動をサポートする機能が正しく機能するようになりました。

(BZ#1994096)

selinux-policyは、TCPカプセル化を使用したIPsecベースのVPNをサポートします。

RHEL 8.4以降、libreswanパッケージは、TCP カプセル化を使用した IPsec ベースの VPN に対応していましたが、selinux-policy パッケージはこの更新を反映しませんでした。その結果、Libreswan が TCP を使用するように設定されている場合、ipsecサービスは指定の TCP ポートにバインドできませんでした。今回のselinux-policyパッケージの更新により、ipsecサービスが一般的に使用されている TCP ポート4500 にバインドして接続できるようになったため、IPsec ベースの VPN で TCP カプセル化を使用できるようになりました。

(BZ#1931848)

SELinuxポリシーがstaff_uユーザーのunconfined_rへの切り替えを防止するようになりました。

以前のバージョンでは、secure_mode ブール値を有効にすると、staff_u ユーザーが誤って unconfined ロールに切り替えることができました。これにより、staff_u ユーザーは、システムのセキュリティーに影響する特権操作を実行できました。今回の修正により、SELinux ポリシーにより、staff_u ユーザーが newrole コマンドを使用してunconfined_r ロールに切り替えられなくなりました。したがって、特権のないユーザーは特権操作を実行できません。

(BZ#1947841)

OSCAP Anaconda Addon がカスタマイズされたプロファイルを処理

以前は、OSCAP Anaconda Addon プラグインは、個別のファイルでカスタマイズしたセキュリティープロファイルを正しく処理しませんでした。したがって、対応する Kickstart セクションで指定した場合でも、カスタマイズしたプロファイルはRHEL グラフィカルインストールで利用できませんでした。処理が修正され、RHEL グラフィカルインストールでカスタマイズした SCAP プロファイルを使用できるようになりました。

(BZ#1691305)

STIG プロファイルおよびその他の SCAP コンテンツの評価中に OpenSCAP が失敗しなくなりました。

以前は、OpenSCAP の暗号ライブラリーの初期化は、OpenSCAPで適切に実行されませんでした(特に filehash58 プローブ)。その結果、filehash58_test Open Vulnerability Assessment Language(OVAL)テストを含むSCAPコンテンツの評価中にセグメンテーション違反が発生しました。これは、Red Hat Enterprise Linux 8 用の STIG プロファイルの評価に影響を及ぼしました。評価は予期せず失敗し、結果が生成されませんでした。openscap パッケージの新しいバージョンで、ライブラリーを初期化するプロセスが修正されました。その結果、RHEL 8 用の STIG プロファイル、および filehash58_test OVAL テストを含むその他の SCAP コンテンツの評価時に、OpenSCAP が失敗しなくなりました。

(BZ#1959570)

Ansibleは必要な場合にのみバナーファイルを更新します

以前のバージョンでは、バナー修復に使用する Playbook は常にファイルを削除し、再作成していました。そのため、バナーファイルの inode はその必要がなくても常に変更されていました。今回の更新により、Ansible 修復 Playbook が改善され、copy モジュールを使用して、既存のコンテンツを目的のコンテンツと比較し、必要な場合にのみファイルを更新するようになりました。その結果、既存のコンテンツが目的のコンテンツとは異なる場合にのみ、バナーファイルは更新されます。

(BZ#1857179)

USB デバイスが DISA STIG プロファイルで正常に動作するようになりました。

以前は、DISA STIG プロファイルが USBGuard サービスを有効にしましたが、初期接続された USB デバイスを設定していませんでした。したがって、USBGuard サービスは、特に許可されていないデバイスをすべてブロックしていました。これにより、スマートカードなどの一部の USB デバイスが到達不能になっていました。今回の更新で、DISA STIG プロファイルの適用時に初期 USBGuard 設定が生成され、接続された USB デバイスを使用できるようになりました。その結果、USB デバイスがブロックされず、正常に機能します。

(BZ#1946252)

OSCAP Anaconda Addon が選択されたすべてのパッケージをテキストモードでインストール

以前は、OSCAP Anaconda Addon プラグインは、テキストモードで実行している際インストールの開始前に、特定のパーティションレイアウトまたはパッケージのインストールと削除が必要なルールを評価しませんでした。そのため、キックスタートを使用してセキュリティーポリシープロファイルが指定され、インストールがテキストモードで実行されている場合は、選択したセキュリティープロファイルに必要な追加パッケージがインストールされませんでした。OSCAP Anaconda Addon は、インストールがグラフィカルまたはテキストベースであるかに関係なく、インストールの開始前に必要なチェックを実行するようになり、選択したすべてのパッケージもテキストモードでインストールされます。

(BZ#1674001)

rpm_verify_permissions が CIS プロファイルから削除

ファイルパーミッションとパッケージのデフォルトパーミッションを比較する rpm_verify_permissions ルールは、Center for Internet Security (CIS) Red Hat Enterprise Linux 8 Benchmark から削除されました。今回の更新で、CIS プロファイルが CIS RHEL 8 ベンチマークと整合し、その結果、このルールは CIS に応じてシステムを強化するユーザーに影響を与えなくなりました。

(BZ#1843913)