4.6. セキュリティー

libreswan を 4.4 にリベース

libreswan パッケージがアップストリームバージョン 4.4 にアップグレードされ、多くの機能強化とバグ修正が行われました。以下に例を示します。

  • IKEv2 プロトコル:

    • トランスポートモード およびホスト間接続での TCP カプセル化に関する修正を導入しました。
    • リダイレクトの統計情報を表示する ipsec whack コマンドに、--globalstatus オプションを追加しました。
    • ipsec.conf 設定ファイルの vhost および vnet の値は、IKEv2 接続では使用できなくなりました。

  • pluto IKE デーモン:

    • 非標準の IKE ポートを使用するホスト間接続の修正を導入しました。
    • 最適な初期接続を選択するために、ピア ID(IKEv2 IDr または IKEv1 Aggr) を追加しました。
    • Libreswan が対応する機能をまだ提供していないため、interface-ip= オプションを無効にしました。
    • トランスポートモード の NAT に対する ipsec__updown スクリプトの PLUTO_PEER_CLIENT 変数を修正しました。
    • PLUTO_CONNECTION_TYPE 変数を transport または tunnel に設定します。
    • テンプレート化されないワイルドカード ID の接続がマッチするようになりました。

(BZ#1958968)

gnutls が 3.6.16 にリベース

gnutls パッケージがバージョン 3.6.16 に更新されました。主なバグ修正と機能拡張は、以下のとおりです。

  • gnutls_x509_crt_export2() 関数は、成功した場合に、内部の base64 ブロブのサイズの代わりに 0 を返すようになりました。これは、gnutls_x509_crt_export2(3) man ページのドキュメントと一致しています。
  • OCSP(Online Certificate Status Protocol) の must-stapling に従わないことによる証明書検証の失敗に、GNUTLS_CERT_INVALID フラグが正しく付くようになりました。
  • これまでは、-VERS-TLS1.2 オプションで TLS 1.2 を明示的に無効にしても、TLS 1.3 が有効な場合にサーバーが TLS 1.2 を提供していました。バージョンネゴシエーションが修正され、TLS 1.2 を正しく無効にできるようになりました。

(BZ#1956783)

socat が 1.7.4 にリベースされました。

socat パッケージがバージョン 1.7.3 から 1.7.4 にアップグレードされ、バグ修正および改善点が数多く追加されました。以下に例を示します。

  • GOPEN および UNIX-CLIENT アドレスが SEQPACKET ソケットに対応するようになりました。
  • アドレスのリッスンまたは許可の場合、汎用 setsockopt-int および関連オプションは、接続されたソケットに適用されます。リスニングソケットで設定オプションを有効にするために、setsockopt-listen オプションが利用できるようになりました。
  • ファイルに転送されたデータのローダーンプの -r オプションおよび -R オプションを追加。
  • ip-transparent オプションと IP_TRANSPARENT ソケットオプションを追加。
  • OPENSSL-CONNECT は SNI 機能を自動的に使用し、openssl-no-sni オプションが SNI をオフにするようになりました。openssl-snihost オプションは、openssl-commonname オプションまたはサーバー名の値を上書きします。
  • accept-timeout オプションおよび listen-timeout オプションが追加されました。
  • ip-add-source-membership オプションが追加されました。
  • UDP-DATAGRAM アドレスは、1.7.3 で行っていた応答のピアポートの確認を行わなくなりました。シナリオに以前の動作が必要な場合は、sourceport オプションを使用します。
  • 新しい proxy-authorization-file オプションは、ファイルから PROXY-CONNECT 認証情報を読み取り、プロセステーブルからこのデータを非表示にできるようにします。
  • VSOCK-CONNECT および VSOCK-LISTEN アドレスの AF_VSOCK サポートが追加されました。

(BZ#1947338)

crypto-policies が 20210617 にリベースされました。

crypto-policies パッケージがアップストリームバージョン 20210617 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は以下のとおりです。

  • スコープ指定されたポリシーを使用して、異なるバックエンドに対して、異なるアルゴリズムセットを有効化できるようになりました。各設定ディレクティブは、特定のプロトコル、ライブラリー、またはサービスに制限できるようになりました。利用可能なスコープの全リストと新しい構文の詳細は、crypto-policies(7) の man ページを参照してください。たとえば、以下のディレクティブは、libssh ライブラリーと OpenSSH スイートの両方に対して、SSH プロトコルでの AES-256-CBC 暗号の使用を許可します。 

    cipher@SSH = AES-256-CBC+

  • ディレクティブで、ワイルドカードを使用して複数の値を指定するアスタリスクを使用できるようになりました。たとえば、以下のディレクティブは、libssh を使用したアプリケーションのすべての CBC モード暗号を無効にします。 

    cipher@libssh = -*-CBC

    今後の更新では、現在のワイルドカードで一致した新しいアルゴリズムが導入される可能性があることに注意してください。

(BZ#1960266)

crypto-policies が、カスタムポリシーで AES-192 暗号に対応するようになりました。

システム全体の暗号化ポリシーが、カスタムポリシーとサブポリシーの cipher オプションに対して、AES-192-GCMAES-192-CCMAES-192-CTR および AES-192-CBC の値に対応するようになりました。これにより、Libreswan アプリケーションの AES-192-GCM および AES-192-CBC 暗号、libssh ライブラリーの AES-192-CTR および AES-192-CBC 暗号、および crypto-policies を介して OpenSSH スイートを有効にできます。

(BZ#1876846)

FUTURE 暗号化ポリシーで CBC 暗号を無効にする

今回の crypto-policies パッケージの更新により、FUTURE ポリシーで CBC (cipher block chaining) モードを使用する暗号が無効になります。FUTURE の設定は、近い将来の攻撃に耐えうるものでなければならず、今回の変更は現在の進捗を反映したものです。そのため、FUTURE ポリシーが有効な場合、crypto-policies を遵守するシステムコンポーネントは CBC モードを使用できません。

(BZ#1933016)

新しいカーネル AVC トレースポイントの追加

今回の機能強化により、SELinux 拒否の監査時にトリガーする新しい avc:selinux_audited カーネルトレースポイントが追加されました。この機能により、SELinux 拒否の低レベルのデバッグがより容易になります。perf などのツールには、新しいトレースポイントが利用できます。

(BZ#1954024)

SCAP セキュリティーガイドの新しい ACSC ISM プロファイル

scap-security-guide パッケージで、Australian Cyber Security Centre (ACSC) Information Security Manual (ISM) 準拠のプロファイルと、これに対応するキックスタートファイルを利用できるようになりました。この機能強化により、このセキュリティーベースラインに準拠するシステムをインストールし、OpenSCAP スイートを使用して、ACSC が定義するセキュリティー制御のリスクベースのアプローチを使用して、セキュリティーコンプライアンスと修復を確認できます。

(BZ#1955373)

SCAP セキュリティーガイドが 0.1.57 にリベースされました。

scap-security-guide パッケージがアップストリームバージョン 0.1.57 にリベースされ、バグ修正および改善が複数追加されました。以下に例を示します。

  • Australian Cyber Security Centre (ACSC) Information Security Manual (ISM) プロファイルが導入されました。このプロファイルは Essential Eight プロファイルを拡張し、ISM で定義されているより多くのセキュリティー制御を追加します。
  • CCenter for Internet Security (CIS) プロファイルが、公式の CIS ベンチマークで定義されているように、強化レベルとシステムタイプ (サーバーおよびワークステーション) に対応する 4 つのプロファイルに再構築されました。
  • セキュリティー技術実装ガイド (STIG) セキュリティープロファイルが更新され、最近リリースされたバージョン V1R3 からルールが実装されました。
  • Security Technical Implementation Guide with GUI (STIG with GUI) セキュリティープロファイルが導入されました。プロファイルは STIG プロファイルに由来し、Server with GUI パッケージの選択を選択する RHEL インストールと互換性があります。
  • French National Security Agency (ANSSI) の ANSSI BP-028 の推奨事項に基づくANSSI High level プロファイルが導入されました。これには、高い強化レベルのルールを実装するプロファイルが含まれます。

(BZ#1966577)

OpenSCAP が 1.3.5 にリベースされました。

OpenSCAP パッケージがアップストリームバージョン 1.3.5 にリベースされました。主なバグ修正と機能強化は、以下のとおりです。

  • oval および xccdf モジュールの validate コマンドで、デフォルトで Schematron ベースの検証を有効にします。
  • SCAP 1.3 ソースデータストリーム Schematron を追加。
  • XML 署名の検証を追加
  • SOURCE_DATE_EPOCHmtime をクランプするのを許可しました。
  • severity および role 属性が追加されました。
  • Rule and Group(XCCDF) の requires および conflicts 要素のサポート。
  • HTML レポートでの Kubernetes 修復
  • gpfsproc、および sysfs のファイルシステムをローカル以外のものとして処理しています。
  • --arg=val というスタイルの一般的なオプションの処理を修正
  • StateType Operator の動作が修正されました。
  • XPath 式 (xmlfilecontent) で名前空間が無視され、不完全な XPath クエリーを許可します。
  • 突出したデータの存在に関する警告を生じさせる問題を修正
  • --stig-viewer 機能で複数のセグメンテーション違反と破損テストを修正
  • TestResult/benchmark/@href 属性を修正
  • メモリー管理の多くの問題が修正されました。
  • 多くのメモリーリークを修正

(BZ#1953092)

デジタル署名された SCAP ソースデータストリームの検証

Security Content Automation Protocol (SCAP) 1.3 仕様に準拠するため、OpenSCAP が、デジタルに署名された SCAP ソースデータストリームのデジタル署名を検証するようになりました。これにより、デジタル署名された SCAP ソースデータストリームを評価する際に、OpenSCAP がデジタル署名を検証します。署名の検証は、ファイルの読み込み時に自動的に実行されます。無効な署名を持つデータストリームが拒否され、OpenSCAP はコンテンツを評価しません。OpenSCAP は、OpenSSL 暗号ライブラリーと共に XML Security Library を使用して、デジタル署名を検証します。

oscap xccdf eval コマンドに --skip-signature-validation オプションを追加すると、署名の検証をスキップできます。

重要

OpenSCAP は、KeyInfo 署名要素の一部で署名の検証に使用される証明書または公開鍵の信頼性に対応していません。不正な攻撃者によって変更および署名されたデータストリームの評価を防ぐために、ご自身で鍵を検証する必要があります。

(BZ#1966612)

Server with GUI インストールと互換性のある新しい DISA STIG プロファイル。

新しいプロファイル DISA STIG with GUISCAP Security Guide に追加されました。プロファイルは DISA STIG プロファイルに由来し、Server with GUI パッケージグループを選択した RHEL インストールと互換性があります。DISA STIG ではグラフィカルユーザーインターフェイスをアンインストールする必要があるため、これまで存在した stig プロファイルは Server with GUI と互換性がありませんでした。ただし、評価中に Security Officer によって適切に文書化されている場合には、この設定を上書きできます。これにより、新しいプロファイルは、RHEL システムを DISA STIG プロファイルに準拠した Server with GUI としてインストールする際に役立ちます。

(BZ#1970137)

STIG セキュリティープロファイルがバージョン V1R3 に更新されました。

SCAP セキュリティーガイドの DISA STIG for Red Hat Enterprise Linux 8 プロファイルが更新され、最新バージョンの V1R3 に合わせて更新されました。このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL 8 STIG (Security Technical Implementation Guide) のマニュアルベンチマークにより適切に調整されるようになりました。

この 2 番目の反復により、STIG に関するカバレッジの約 90% が発生します。古バージョンが有効でなくなったため、このプロファイルの現行バージョンのみを使用する必要があります。

警告

自動修正によりシステムが機能しなくなる場合があります。まずテスト環境で修復を実行してください。

(BZ#1993056)

SCAP セキュリティーガイドの 3 つの新しい CIS プロファイル

Center for Internet Security (CIS) Red Hat Enterprise Linux 8 Benchmark に準拠する 3 つの新しいコンプライアンスプロファイルが SCAP セキュリティーガイドに導入されました。CIS RHEL 8 Benchmark は、サーバーとワークステーションデプロイメントには、異なる設定の推奨事項を提供し、デプロイメントごとに 2 つの設定レベルレベル 1 とレベル 2 を定義します。従来 RHEL8 に同梱されていた CIS プロファイルは、サーバーレベル 2 しか表しませんでした。新しい 3 つのプロファイルは CIS RHEL8 Benchmark プロファイルのスコープを完了し、CIS の推奨事項に対してシステムをより簡単に評価できるようになりました。

現在利用可能なすべての CIS RHEL 8 プロファイルは次のとおりです。

ワークステーションレベル 1

xccdf_org.ssgproject.content_profile_cis_workstation_l1

ワークステーションレベル 2

xccdf_org.ssgproject.content_profile_cis_workstation_l2

サーバーレベル 1

xccdf_org.ssgproject.content_profile_cis_server_l1

サーバーレベル 2

xccdf_org.ssgproject.content_profile_cis

(BZ#1993197)

同様のシステムコールをグループ化して Audit の修復のパフォーマンスを強化

以前のバージョンでは、Audit の修正は、プロファイルが監査する各システムコールに対して個々のルールを生成していました。これが、パフォーマンスを低下させる多くの監査ルールの原因でした。今回の機能強化により、Audit の修復では、同じフィールドを持つ同様のシステムコールのルールを 1 つのルールにグループ化でき、パフォーマンスが向上します。

1 つにグループ化されたシステムコールの例: 

-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F auid>=1000 -F auid!=unset -F key=perm_mod
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat, rmdir -F auid>=1000 -F auid!=unset -F key=delete
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccesful-perm-change
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat -F auid>=1000 -F auid!=unset -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccessful-delete

(BZ#1876483)

ANSSI-BP-028 High Level のプロファイルを追加

French National Security Agency (ANSSI) の ANSSI BP-028 の推奨事項に基づく ANSSI High level プロファイルが導入されました。これは、SCAP Security Guideのすべての ANSSI-BP-028 v1.2 強化レベルに対してプロファイルの可用性を完了します。新しいプロファイルを使用すると、システムを GNU/Linux システムの ANSSI からの推奨事項の高い強化レベルに強化できます。これにより、ANSSI Ansible Playbook および ANSSI SCAP プロファイルを使用し、RHEL 8 システムの最も厳しい強化レベルへのコンプライアンスを設定および自動化できます。

(BZ#1955183)

Rsyslog TCP および RELP トラフィックを暗号化する OpenSSL が追加されました。

OpenSSL ネットワークストリームドライバーが Rsyslog に追加されました。このドライバーは、OpenSSL ライブラリーを使用して TLS で保護されるトランスポートを実装します。これにより、GnuTLS ライブラリーを使用するストリームドライバーよりも、追加機能が提供されます。これにより、Rsyslog ネットワークストリームドライバーとして OpenSSL または GnuTLS のどちらかを使用できるようになりました。

(BZ#1891458)

rsyslog が 8.2102.0-5 にリベースされました。

rsyslog パッケージがアップストリームバージョン 8.2102.0-5 にリベースされ、以前のバージョンに対する主な変更点が加えられています。

  • 変数が存在するかどうかを確認するために exists() スクリプト関数を追加 (例: $!path!var )。
  • omrelp および imrelp モジュールの新たな設定パラメーター tls.tlscfgcmd で OpenSSL 設定コマンドを設定するサポートが追加されました。

  • リモートサーバーに送信されるレート制限 syslog メッセージに対して omfwd モジュールに新しいレート制限オプションが追加されました。

    • RateLimit.interval はレート制限間隔を秒単位で指定します。
    • RateLimit.burst は、メッセージの数でレート制限バーストを指定します。
  • さまざまな改善と共に immark モジュールが書き直されました。
  • imptcp モジュールに max sessions 設定パラメーターを追加。最大はインスタンスごとに測定されますが、全インスタンスでグローバルに測定されません。
  • rsyslog-openssl サブパッケージが追加されました。このネットワークストリームドライバーは、OpenSSL ライブラリーを使用して TLS で保護されるトランスポートを実装します。
  • MaxBytesPerMinute オプションおよび MaxLinesPerMinute オプションと共に、imfile モジュールに 1 分あたりのレート制限が追加されました。これらのオプションは整数値を受け入れ、1 分で送信される可能性のあるバイト数または行数を制限します。
  • streamdriver.TlsVerifyDepth オプションを使用して証明書チェーンの検証の最大深さを設定する imtcp モジュールおよび omfwd モジュールのサポートを追加

(BZ#1932795)