4.4. セキュリティー

NSS が 1023 ビット未満の RSA 鍵に対応しなくなる

Network Security Services (NSS) ライブラリーの更新により、すべての RSA 操作の最小鍵サイズが 128 から 1023 ビットに変更されます。つまり、NSS は以下の機能を実行しなくなります。

  • RSA 鍵の生成は 1023 ビット未満です。
  • 1023 ビット未満の RSA 鍵で RSA に署名するか、署名を検証します。
  • 1023 ビットより短い RSA キーで値を暗号化または復号化します。

(BZ#2097837)

SCAP セキュリティーガイドが 0.1.63 にリベースされました

SCAP セキュリティーガイド (SSG) パッケージは、アップストリームバージョン 0.1.63 にリベースされました。このバージョンは、さまざまな拡張機能とバグ修正を提供します。特に、次のようなものがあります。

  • sysctlgrub2pam_pwquality、およびビルド時のカーネル設定の新しいコンプライアンスルールが追加されました。
  • PAM スタックを強化するルールは、設定ツールとして authselect を使用するようになりました。注記: この変更により、PAM スタックが他の方法で編集された場合、PAM スタックを強化するルールは適用されません。

(BZ#2070564)

CIS RHEL 8 ベンチマーク 2.0.0 に準拠した SSG CIS プロファイル

SCAP Security Guide (SSG) には、Center for Internet Security (CIS) プロファイルを CIS Red Hat Enterprise Linux 8 Benchmark バージョン 2.0.0 に合わせる変更が含まれるようになりました。このバージョンのベンチマークでは、新しい要件が追加され、関連性がなくなった要件が削除され、いくつかの既存の要件が並べ替えられました。この更新は、関連するルールの参照とそれぞれのプロファイルの精度に影響を与えます。

(BZ#2058203)

RHEL 8 STIG プロファイルが DISA STIG コンテンツにより適切に調整されるようになりました。

scap-security-guide (SSG)パッケージで利用可能な DISA STIG for Red Hat Enterprise Linux 8 プロファイル (xccdf_org.ssgproject.content_profile_stig) を使用して、アメリカ国防情報システム局 (DISA) による Security Technical Implementation Guides (STIG) に従ってシステムを評価できます。SSG のコンテンツを使用してシステムを修復できますが、DISA STIG 自動コンテンツを使用してシステムを評価する必要がある場合があります。今回の更新により、DISA STIG RHEL 8 プロファイルは、DISA のコンテンツとの整合性が向上しました。これにより、SSG 修復後に DISA コンテンツに対する調査結果が少なくなります。

以下のルールの評価は引き続き異なる点に注意してください。

  • SV-230264r627750_rule - CCE-80790-9 (ensure_gpgcheck_globally_activated)
  • SV-230349r833388_rule - CCE-82266-8 (configure_bashrc_exec_tmux)
  • SV-230311r833305_rule - CCE-82215-5 (sysctl_kernel_core_pattern)
  • SV-230546r833361_rule - CCE-80953-3 (sysctl_kernel_yama_ptrace_scope)
  • SV-230287r743951_rule - CCE-82424-3 (file_permissions_sshd_private_key)
  • SV-230364r627750_rule - CCE-82472-2 (accounts_password_set_min_life_existing)
  • SV-230343r743981_rule - CCE-86107-0 (account_passwords_pam_faillock_audit)

(BZ#1967947)

/tmp および /var/tmp パーティションが存在しない場合に、マウントオプションの SSG ルールが誤って失敗することがなくなりました

以前は、/tmp および /var/tmp パーティションのマウントオプションに関する SCAP セキュリティーガイド (SSG) ルールは、そのようなパーティションがシステムに存在しない場合、fail の結果を誤って報告していました。

この機能強化により、これらのルールが失敗するのではなく、適用されなくなります。現在、ルールは、パーティションが存在し、システムに正しいマウントオプションがない場合にのみ失敗します。

これらのマウントオプションが特定のポリシーに不可欠である場合、そのようなパーティションの存在を規定するルールがプロファイルに存在し、その 1 つのルールが失敗する必要があります。

(BZ#2032403)

STIG セキュリティープロファイルがバージョン V1R7 に更新されました。

SCAP セキュリティーガイドの DISA STIG for Red Hat Enterprise Linux 8 プロファイルが更新され、最新バージョンの V1R7 に合わせて更新されました。

このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL 8 STIG (Security Technical Implementation Guide) のマニュアルベンチマークにより適切に調整されるようになりました。この反復により、sysctl コンテンツを新しい STIG に合わせて更新が行われます。

古バージョンが有効でなくなったため、このプロファイルの現行バージョンのみを使用する必要があります。

警告

自動修正によりシステムが機能しなくなる場合があります。まずテスト環境で修復を実行してください。

(BZ#2112937)

clevis-luks-askpass がデフォルトで有効になりました

/lib/systemd/system-preset/90-default.preset ファイルには enable clevis-luks-askpass.path 設定オプションが含まれます。clevis-systemd サブパッケージをインストールすると、必ず clevis-luks-askpass.path ユニットファイルが有効になります。これにより、Clevis 暗号化クライアントは、起動プロセスの後半でマウントされる LUKS 暗号化ボリュームもロック解除できます。この更新の前に、管理者は systemctl enable clevis-luks-askpass.path コマンドを使用して、Clevis がそのようなボリュームのロックを解除できるようにする必要があります。

(BZ#2107081)

Rsyslog エラーファイルの最大サイズオプションを追加しました

新しい action.errorfile.maxsize オプションを使用すると、Rsyslog ログ処理システムのエラーファイルの最大バイト数を指定できます。エラーファイルが指定されたサイズに達すると、Rsyslog は追加のエラーやその他のデータを書き込むことができなくなります。これにより、エラーファイルが原因でファイルシステムがいっぱいになり、ホストが使用できなくなるのを防ぐことができます。

(BZ#1962318)

fapolicyd が 1.1.3 にリベースされました。

fapolicyd パッケージがバージョン 1.1.3 にアップグレードされました。主な改善点とバグ修正は次のとおりです。

  • ルールに、サブジェクトの親 PID (プロセス ID) と一致する新しいサブジェクト PPID 属性を含めることができるようになりました。
  • OpenSSL ライブラリーは、ハッシュ計算用の暗号化エンジンとして Libgcrypt ライブラリーに取って代わりました。
  • fagenrules --load コマンドが正しく機能するようになりました。

(BZ#2100087)