8.5. セキュリティー

OpenSCAP の修復により、/etc/tmux.conf の正しいアクセス許可が設定されます

以前は、SCAP ルール configure_tmux_lock_after_time を修正するときに、umask (600) に関する権限で /etc/tmux.conf ファイルが作成されました。これにより、通常のユーザーが /etc/tmux.conf を読み取れなくなりました。通常のユーザーがログインすると、エラーメッセージが表示され、タイムアウトが発生してログインするまで数分間待たなければなりませんでした。今回の更新では、configure_tmux_lock_after_time ルールの修正により、/etc/tmux.conf の特定の権限が 644 に設定されます。その結果、通常のユーザーはエラーメッセージやログインの遅延に遭遇しなくなりました。

(BZ#2064696)

Rsyslog の SCAP ルールは .conf ファイルを正しく識別します

以前は、ルールシステムログファイルに正しいアクセス許可があることを確認する (xccdf_org.ssgproject.content_rule_rsyslog_files_permissions) は、Rsyslog インクルードステートメントの glob 式を展開しませんでした。その結果、ルールは関連するすべての設定ファイルを解析しませんでした。また、一部のログファイルの権限がチェックされませんでした。今回の更新により、ルールは glob 式を正しく展開して、解析する必要がある .conf ファイルを識別します。その結果、ルールは必要な .conf ファイルを正しく処理し、設定されたすべてのログファイルに正しい権限が付与されるようになりました。

(BZ#2075384)

chronyd のルールでは、明示的な chrony ユーザー設定は必要ありません

RHEL は、デフォルトで chrony ユーザーの下で chronyd を実行します。以前は、chronyd サービス設定ユーザーのチェックと修復が必要以上に厳格でした。厳しすぎるチェックは、誤検知と過剰な修復につながりました。このバージョンでは、ルール xccdf_org.ssgproject.content_rule_chronyd_run_as_chrony_user のチェックと修復が更新され、最小限の正しい設定と従来の明示的な正しい設定パスの両方がパスされます。その結果、ルールはデフォルトの RHEL の動作を尊重し、明示的な chrony ユーザー設定を必要としません。

(BZ#2077531)

rsyslog_remote_loghost に追加された警告

SCAP ルール xccdf_org.ssgproject.content_rule_rsyslog_remote_loghost により、Rsyslog デーモンがログメッセージをリモートログホストに送信するように設定されます。ただし、ルールは TCP キューを設定しません。その結果、TCP キューが設定されていないとシステムがハングし、リモートログホストが使用できなくなります。この更新により、TCP キューの設定方法を説明する警告メッセージが追加されました。このルールの使用中にシステムがハングした場合は、警告を読み、システムを適切に設定してください。

(BZ#2078974)

sudo_custom_logfile の修復は、カスタム sudo ログファイルに対して機能します

以前は、SCAP セキュリティーガイドルール xccdf_org.ssgproject.content_sudo_custom_logfile の修正が、/var/log/sudo.log とは異なるパスを持つカスタム sudo ログファイルに対して機能しませんでした。今回の更新でルールが修正され、予想されるパスと一致しないカスタム sudo ログファイルがシステムにある場合に適切に修復できるようになりました。

(BZ#2083109)

firewalld_sshd_port_enabled の修復が正しく機能するようになりました

以前は、SCAP ルール xccdf_org.ssgproject.content_rule_firewalld_sshd_port_enabled の Bash 修正で、ネットワークインターフェイスのリストが正しく処理されませんでした。さらに、設定ファイルの名前が必要とは異なるものでした。この更新により、修復が修正されました。その結果、修復によってすべてのネットワークインターフェイスが正しく処理され、設定ファイルには予測可能な名前が付けられます。

(BZ#2109602)

fagenrules --load が正常に動作するようになりました

以前は、fapolicyd サービスはシグナルのハングアップ (SIGHUP) を正しく処理しませんでした。その結果、fapolicyd は SIGHUP シグナルを受信した後に終了し、fagenrules --load コマンドが正しく機能しませんでした。この更新では、その問題が修正されました。その結果、fagenrules --load が正常に機能し、ルール更新時に fapolicyd を手動で再起動する必要がなくなりました。

(BZ#2070639)