暗号ポリシーは、Red Hat Enterprise Linux 8 でコア暗号化サブシステムを構成するコンポーネントで、TLS、IPsec、DNSSEC、Kerbero の各プロトコルと、OpenSSH スイートに対応します。これにより、管理者が update-crypto-policies コマンドで選択できる小規模セットのポリシーを提供します。

デフォルト のシステム全体の暗号化ポリシーは、現在の脅威モデルに対して安全な設定を提供します。これは、TLS 1.2 と 1.3 のプロトコルだけでなく、IKEv2 プロトコルと SSH2 プロトコルを可能にします。RSA 鍵と Diffie-Hellman パラメーターの長さが 2047 ビット以上であれば許可されます。

詳細は、Red Hat ブログの記事 「Consistent security by crypto policies in Red Hat Enterprise Linux 8」 と、man ページの update-crypto-policies(8) を参照してください。

次の一覧は、RHEL 8 のコア暗号化ライブラリーから削除された暗号スイートおよびプロトコルです。これは、ソースコード内に存在しないか、ビルド時に無効化されているため、アプリケーションが利用することはできません。

以下の一覧は、すべての暗号化ポリシーレベルで無効になっています。これは、各アプリケーションで明示的に有効にした場合に限り利用可能にできます。

システム全体の暗号化ポリシーには、連邦情報処理規格 (FIPS) 140-2 の要件に準拠した暗号化モジュールのセルフチェックを有効にするポリシーレベルが含まれます。FIPS モードを有効または無効にする fips-mode-setup ツールは、内部的に FIPS システム全体の暗号化ポリシーレベルを使用します。

RHEL 8 の FIPS モードにシステムを切り替えるには、以下のコマンドを実行してシステムを再起動します。

# fips-mode-setup --enable

詳細は、man ページのfips-mode-setup(8)を参照してください。

TLS 1.0 プロトコルおよび TLS 1.1 プロトコルは、システム全体の暗号化ポリシーレベル DEFAULT で無効になります。たとえば、Firefox Web ブラウザーのビデオ会議アプリケーションで、非推奨のプロトコルを使用する必要がある場合は、システム全体の暗号化ポリシーを LEGACY レベルに変更してください。

# update-crypto-policies --set LEGACY

詳細は、Red Hat カスタマーポータルのナレッジベース 「Strong crypto defaults in RHEL 8 and deprecation of weak crypto algorithms」、および man ページの update-crypto-policies(8) を参照してください。

今回の更新で、主要なすべてのバックエンド暗号ライブラリーで、TLS (Transport Layer Security) 1.3 が有効になっています。これにより、オペレーティングシステムの通信層での待ち時間を短縮し、RSA-PSS、X25519 などの新しいアルゴリズムを使用して、アプリケーションのプライバシーおよびセキュリティーを強化します。

Red Hat Enterprise Linux 8 では、DSA (Digital Signature Algorithm) は非推奨であると見なされます。DSA キーに依存する認証メカニズムはデフォルト設定では機能しません。OpenSSH クライアントは、LEGACY のシステム全体の暗号化ポリシーレベルでも DSA ホストキーを許可しません。

TLS (Transport Layer Security) プロトコルバージョン 1.2 以前では、SSL (Secure Sockets Layer) プロトコルバージョン 2 と後方互換性がある形式の Client Hello メッセージを使用してネゴシエーションを開始できます。NSS (Network Security Services) ライブラリーでは、この機能のサポートが非推奨となっており、デフォルトで無効になっています。

この機能のサポートが必要なアプリケーションを有効にするには、新しい SSL_ENABLE_V2_COMPATIBLE_HELLO API を使用する必要があります。この機能のサポートは、Red Hat Enterprise Linux 8 の将来のリリースから完全に削除される可能性があります。

Network Security Services (NSS) ライブラリーは、デフォルトで信頼データベースに SQL ファイル形式を使用するようになりました。以前のリリースでデフォルトのデータベース形式として使用されていた DBM ファイル形式は、マルチプロセスによる同時アクセスをサポートせず、アップストリームでは非推奨となっていました。したがって、NSS 信頼データベースを使用するアプリケーションが鍵や証明書を保存し、取消し情報がデフォルトで SQL 形式のデータベースを作成します。レガシーの DBM 形式でデータベースを作成しようとする試みは失敗します。既存の DBM データベースを読み取り専用モードで開くと、自動的に SQL 形式に変換されます。Red Hat Enterprise Linux 6 以降、NSS は SQL ファイル形式をサポートします。

openssh パッケージが、アップストリームバージョン 7.8p1 にアップグレードされました。以下は、主な変更点です。

この変更により、Red Hat Enterprise Linux 8 のコア暗号化コンポーネントとして libssh が導入されました。libssh ライブラリーは、Secure SHell (SSH) プロトコルを実装しています。

libssh は、システム全体の暗号化ポリシーに準拠していません。

非推奨の libssh2 ライブラリーは、楕円曲線、Generic Security Service Application Program Interface (GSSAPI) などの機能がなく、RHEL 8 では削除され、libssh が使用されます。

rsyslog パッケージの設定ファイルが、デフォルトで非レガシーフォーマットを使用するようになりました。レガシーフォーマットも使用できますが、現在の設定ステートメントとレガシーの設定ステートメントを混在する場合は制約がいくつかあります。以前の RHEL リリースから引き継がれた設定は修正する必要があります。詳細は man ページの rsyslog.conf(5) を参照してください。

journald がそのファイルをローテートすると発生する場合がある重複レコードを回避するには、imjournal オプションが追加されています。このオプションを使用するとパフォーマンスに影響します。

ナレッジベースの記事「Configuring system logging without journald or with minimized journald usage」に記載されるように、システムに rsyslog を設定すると、パフォーマンスが向上します。

デフォルトのログ環境設定は、メモリーを 4 GB 以上使用する可能性があり、rsyslog で systemd-journald を実行している場合は、速度制限値の調整が複雑になります。

詳細は、ナレッジベースの記事「Negative effects of the RHEL default logging setup on performance and their mitigations」を参照してください。

この更新により、統合された OpenSCAP 共有ライブラリー API を提供します。63 個のシンボルが削除され、14 個が追加され、4 個では署名が更新されました。OpenSCAP 1.3.0 で削除されたシンボルには以下が含まれます。

Red Hat Enterprise Linux 7 では、Atomic テクノロジーに基づいた Docker コンテナーのスキャンに、oscap-docker ユーティリティーを使用できました。Red Hat Enterprise Linux 8 では、Docker 関連、および Atomic 関連の OpenSCAP コマンドが利用できません。そのため、コンテナーのセキュリティーおよびコンプライアンススキャンには、oscap-docker または同等のユーティリティーを使用できません。

今回の更新で、audispd 機能が auditd に移行したため、audispd 設定オプションが auditd.conf に追加されました。さらに、plugins.d ディレクトリーが /etc/audit に移動しました。auditd と、そのプラグインの現在のステータスは、service auditd state コマンドを実行すれば確認できます。

今回の SELinux システムポリシーの更新により、以下のブール値が導入されました。

ブール値の一覧とその意味を取得し、有効かどうかを調べるには、selinux-policy-devel パッケージをインストールして、以下のコマンドを実行します。

# semanage boolean -l

libselinux-python パッケージの機能は、python3-libselinux パッケージで提供されるようになりました。policycoreutils-python は、policycoreutils-python-utils パッケージおよび python3-policycoreutils パッケージに置き換えられました。

useradd コマンドおよび groupadd コマンドでは、数値だけのユーザー名とグループ名を使用することができません。ユーザー ID およびグループ ID は数値となるため、数値だけのユーザー名およびグループ名を使用すると、ユーザー名とユーザー ID、またはグループ名とグループ ID を組み合わせて使用するツールで、混乱が生まれるためです。数値だけのユーザー名およびグループ名は、Red Hat Enterprise Linux 7 では非推奨となり、Red Hat Enterprise Linux 8 では完全にサポートされなくなりました。

最新の Linux システムでは、tty デバイスファイルの動的な特性により、PAM モジュール securetty はデフォルトで無効になり、/etc/securetty 設定ファイルが RHEL に含まれなくなりました。/etc/securetty には可能なデバイスが多数含まれているため、ほとんど場合は、実用的な効果はデフォルトで許可されます。この変更の影響は大きくありませんが、より大きな制限を使用する場合は、/etc/pam.d ディレクトリーの適切なファイルに、pam_securetty.so モジュールを有効にする行を追加して、新しい /etc/securetty ファイルを作成する必要があります。

Clevis の HTTP pin は、RHEL 8 から削除されています。サブコマンド clevis encrypt http は利用できなくなりました。

スマートカードの Coolkey ドライバーは RHEL 8 から削除されており、その機能は OpenSC から提供されるようになりました。