Menu Close
Settings Close

Language and Page Formatting Options

4.7. セキュリティー

システム全体の crypto-policies のセキュリティーが強化されました。

今回の更新で、システム全体の暗号化ポリシーが、最新のセキュアデフォルトを提供するように調整されました。

  • すべてのポリシーで、TLS 1.0、TLS 1.1、DTLS 1.0、RC4、Camellia、DSA、3DES、および FFDHE-1024 が無効になりました。
  • LEGACY で、RSA キーの最小サイズと Diffie-Hellman パラメーターの最小サイズが増加しました。
  • HMAC (Hash-based Message Authentication Code) での SHA-1 の使用を除く、SHA-1 を使用した無効な TLS アルゴリズムおよび SSH アルゴリズム

シナリオにおいて、無効化されたアルゴリズムと暗号の一部を有効にする必要がある場合は、カスタムポリシーまたはサブポリシーを使用します。

(BZ#1937651)

RHEL 9 は OpenSSL 3.0.1 を提供します。

RHEL 9 は、アップストリームバージョン 3.0.1 で openssl パッケージを提供します。これには、以前のバージョンに改善されたバグ修正が数多く含まれます。以下は、主な変更点です。

  • 新しい Provider 概念が追加されました。プロバイダーは一連のアルゴリズムで、異なるアプリケーションに異なるプロバイダーを選択できます。
  • 新しいバージョン管理スキームが、<major>.<minor>.<patch> の形式で導入されました。
  • Certificate Management Protocol (CMP、RFC 4210)、Certificate Request Message Format (CRMF)、および HTTP transfer (RFC 6712) へのサポートが追加されました。
  • GET および POST、リダイレクト、プレーンエンコードおよび ASN.1 エンコードのコンテンツ、プロキシー、およびタイムアウトに対応する HTTP(S) クライアントが導入されました。
  • 新しい鍵派生関数 API (EVP_KDF) およびメッセージ認証コード API (EVP_MAC) が追加されました。
  • enable-ktls 設定オプションを使用したコンパイルによる Linux カーネル TLS (KTLS) のサポートが追加されました。
  • CAdES-BES 署名検証のサポートが追加されました。
  • CAdES-BES 署名スキームおよび属性のサポート (RFC 5126) が CMS API に追加されました。
  • 新しいアルゴリズムのサポートが追加されました。以下に例を示します。

    • KDF アルゴリズムの SINGLE STEP および SSH
    • MAC アルゴリズム GMAC および KMAC。
    • KEM アルゴリズム "RSASVE"
    • 暗号アルゴリズム AES-SIV
  • AES_GCM を使用した AuthEnvelopedData コンテンツタイプ構造 (RFC 5083) を追加しました。
  • PKCS12_create() 機能を使用した PKCS #12 作成用のデフォルトアルゴリズムが、より最新の PBKDF2 および AES ベースのアルゴリズムに変更されました。
  • 新しい汎用トレース API を追加しました。

(BZ#1990814)

OpenSSL にプロバイダーが含まれるようになりました。

RHEL 9 に含まれるバージョン 3.0.1 の OpenSSL ツールキットに、プロバイダーの概念が追加されました。プロバイダーは一連のアルゴリズムで、異なるアプリケーションに異なるプロバイダーを選択できます。OpenSSL には現在、basedefaultfipslegacy、および null のプロバイダーが含まれています。

デフォルトでは、OpenSSL は、RSA、DSA、DH、CAMELLIA、SHA-1、SHA-2 などの一般的に使用されるアルゴリズムを含む default プロバイダーをロードしてアクティブ化します。

カーネルで FIPS フラグが設定されていると、OpenSSL は FIPS プロバイダーを自動的に読み込み、FIPS が承認したアルゴリズムのみを使用します。そのため、OpenSSL を FIPS モードに手動で切り替える必要がありません。

システムレベルで別のプロバイダーに変更するには、openssl.cnf 設定ファイルを編集します。たとえば、シナリオで レガシー プロバイダーの使用が必要な場合は、対応するセクションのコメントを外します。

警告

プロバイダーを明示的にアクティブにすると、デフォルトプロバイダーの暗黙的なアクティブ化が上書きされ、OpenSSH スイートなどにより、システムにリモートでアクセスできない場合があります。

各プロバイダーに含まれるアルゴリズムの詳細は、関連する man ページを参照してください。たとえば、legacy プロバイダーの OSSL_PROVIDER-legacy(7) の man ページなどです。

(BZ#2010291)

OpenSSL のランダムビットジェネレータが CPACF に対応

今回のリリースの openssl パッケージでは、OpenSSL NIST SP800-90A 準拠の AES ベースの Deterministic Random Bit Generator (DRBG) において、CP Assist for Cryptographic Functions (CPACF) のサポートが導入されました。

(BZ#1871147)

openssl-spkac が SHA-1 および SHA-256 で署名された SPKAC ファイルを作成できるようになりました。

openssl-spkac ユーティリティーは、MD5 とは異なるハッシュで署名された Netscapesigned public key and challenge (SPKAC) ファイルを作成できるようになりました。また、SHA-1 および SHA-256 ハッシュで署名された SPKAC ファイルも作成して検証できるようになりました。

(BZ#1970388)

RHEL 9 は openCryptoki3.17.0 を提供します

RHEL 9 には、openCryptoki バージョン 3.17.0 が同梱されています。バージョン 3.16.0 への主なバグ修正および機能強化は、以下のとおりです。

  • p11sak ユーティリティーは、キーを一覧表示する新しい機能を追加します。
  • openCryptoki は以下をサポートするようになりました。

    • OpenSSL 3.0.
    • イベント通知。
    • ICA トークンのソフトウェアのフォールバック。
  • ハードウェアクリプトアダプターが使用可能になっている場合でも、WebSphereApplicationServer の始動に失敗することはなくなりました。

RHEL 9 には、RHEL 固有の追加のパッチが含まれる OpenSSL が含まれています。システムが FIPS (Federal Information Processing Standards) モードになっている場合、OpenSSL は FIPS プロバイダーとベースプロバイダーを自動的に読み込み、アプリケーションが FIPS プロバイダーを使用するように強制します。したがって、RHEL 9 の openCryptoki の動作はアップストリームとは異なります。

  • OpenSSL の暗号化操作の実装に依存するトークン (ソフトトークンおよび ICA トークンソフトウェアフォールバック) は、未承認のメカニズムがまだ使用可能としてリストされている場合でも、FIPS 承認済みのメカニズムのみをサポートするようになりました。
  • openCryptoki は、2 つの異なるトークンデータ形式をサポートしています。これらは、FIPS 承認されていないアルゴリズム (DES や SHA1 など) を使用する古いデータ形式と、FIPS 承認されたアルゴリズムのみを使用する新しいデータ形式です。

    FIPS プロバイダーは FIPS 承認のアルゴリズムのみの使用を許可しているため、古いデータ形式は機能しなくなりました。

    重要

    openCryptoki を RHEL 9 で機能させるには、システムで FIPS モードを有効にする前に、トークンを移行して新しいデータ形式を使用します。openCryptoki 3.17 では古いデータ形式がデフォルトのままであるため、これが必要です。システムが FIPS 対応に変更されると、古いトークンデータ形式を使用する既存の openCryptoki インストールは機能しなくなります。

    openCryptoki で提供される pkcstok_migrate ユーティリティーを使用して、トークンを新しいデータ形式に移行できます。移行中は、pkcstok_migrate は FIPS で承認されていないアルゴリズムを使用することに注意してください。したがって、システムで FIPS モードを有効にする前に、このツールを使用します。詳細は、FIPS 準拠への移行 -pkcstok_migrate ユーティリティーを 参照してください。

(BZ#1869533)

バージョン 3.7.3 で提供される GnuTLS

RHEL 9 では、gnutls パッケージはアップストリームバージョン 3.7.3 で提供されています。これにより、以前のバージョンの改善とバグ修正 (特に以下) が数多く追加されました。

  • FIPS 140-3 明示的なインジケーターの API を導入。
  • PKCS#12 ファイルのエクスポートに強化されたデフォルト。
  • 初期データ (ゼロラウンドトリップデータ、0-RTT) 交換のタイミングを修正しました。
  • certutil ツールは、証明書署名要求 (CSR) の署名時に、認証局 (CA) から CRL (Certificate Revocation List) 配布点を継承しなくなりました。

(BZ#2033220)

RHEL 9 は NSS3.71 を提供します

RHEL 9 は、Network Security Services (NSS) ライブラリーバージョン 3.71 とともに配布されます。以下は、主な変更点です。

  • 従来の DBM データベース形式のサポートは完全に削除されました。NSS は、RHEL 9 の SQLite データベース形式のみをサポートします。
  • PKCS#12 暗号化暗号は、PBE-SHA1-RC2-40 および PBE-SHA1-2DES の代わりに、PBKDF2 および SHA-256 アルゴリズムで AES-128-CBC を使用するようになりました。

(BZ#2008320)

NSS が 1023 ビット未満の RSA 鍵に対応しなくなる

Network Security Services (NSS) ライブラリーの更新により、すべての RSA 操作の最小鍵サイズが 128 から 1023 ビットに変更されます。つまり、NSS は以下の機能を実行しなくなります。

  • RSA 鍵の生成は 1023 ビット未満です。
  • 1023 ビット未満の RSA 鍵で RSA に署名するか、署名を検証します。
  • 1023 ビットより短い RSA キーで値を暗号化または復号化します。

(BZ#2099438)

OpenSSH の最小 RSA 鍵ビット長オプション

誤って短い RSA 鍵を使用すると、システムが攻撃に対してより脆弱になる可能性があります。今回の更新により、OpenSSH サーバーおよびクライアントの RSA キーの最小ビット長を設定できるようになりました。最小の RSA 鍵の長さを定義するには、OpenSSH サーバーの場合は /etc/ssh/sshd_config ファイルで、OpenSSH クライアントの場合は /etc/ssh/ssh_config ファイルで新しい RSAMinSize オプションを使用します。

(BZ#2119694)

8.7p1 で配布された OpenSSH

RHEL 9 には、バージョン 8.7p1 の OpenSSH が含まれています。このバージョンでは、OpenSSH バージョン 8.0p1 で多くの機能拡張とバグ修正が行われました。これは、RHEL 8.5 で配布されており、以下が重要な変更となります。

新機能

  • 以前に使用されていた SCP/RCP プロトコルの代わりに SFTP プロトコルを使用した転送のサポート。SFTP は、より予測可能なファイル名の処理を提供するため、リモート側のシェルで glob(3) パターンを拡張する必要はありません。

    SFTP のサポートはデフォルトで有効になっています。使用しているシナリオで SFTP が利用できない場合や互換性がない場合は、-O フラグを使用して、元の SCP/RCP プロトコルを強制的に使用できます。

  • ファイル/関数/行パターンリストで最大デバッグロギングを強制できるようにする LogVerbose 設定ディレクティブ。
  • 新しい sshd_configPerSourceMaxStartups ディレクティブおよび PerSourceNetBlockSize ディレクティブを使用した、クライアントのアドレスベースのレートリミット。これにより、全体の MaxStartups 制限よりも詳細な制御が可能になります。
  • HostbasedAcceptedAlgorithms キーワードが、キータイプによるフィルターリングではなく、署名アルゴリズムに基づいてフィルターリングされるようになりました。
  • glob パターンを使用して追加の設定ファイルを含めることができる、sshd デーモンの Include sshd_config キーワード。
  • FIDO Alliance で規定されている Universal 2nd Factor (U2F) ハードウェアオーセンティケーターに対応します。U2F/FIDO は、Web サイトの認証に広く使用されている、安価な 2 要素認証ハードウェア用のオープンスタンダードです。OpenSSH では、FIDO デバイスは、新しい公開鍵タイプの ecdsa-sk および ed25519-sk と、対応する証明書タイプで対応しています。
  • 使用するたびに PIN を必要とする FIDO キーに対応します。このような鍵は、新しい verify-required を指定して ssh-keygen を使用して生成できます。PIN が必要な鍵を使用すると、署名の操作を完了するための PIN を求めるプロンプトが表示されます。
  • authorized_keys ファイルが、新しい verify-required オプションに対応するようになりました。このオプションでは、署名を行う前に FIDO 署名がユーザーの存在のトークン検証を表明する必要があります。FIDO プロトコルは、ユーザー検証に複数の方法をサポートしています。OpenSSH は、現在 PIN 検証のみをサポートしています。
  • FIDO webauthn 署名の検証に対応しました。webauthn は、Web ブラウザーで FIDO 鍵を使用するための規格です。このような署名は、プレーンの FIDO 署名とは形式が若干異なるため、明示的なサポートが必要になります。

バグ修正

  • ClientAliveCountMax=0 キーワードのセマンティクスを明確にしました。現在では、最初の Liveness テストの成功に関係なく、そのテストの後に接続を即座に強制終了するという以前の動作ではなく、接続の強制終了を完全に無効にしています。

セキュリティー

  • XMSS キータイプの秘密鍵解析コードで、悪用可能な整数オーバーフローのバグを修正しました。この鍵タイプは依然として試験的なもので、デフォルトではコンパイルされていません。ポータブルの OpenSSH には、有効にするユーザー向けの autoconf オプションは存在しません。
  • Spectre、Meltdown、Rambled などの投機やメモリーサイドチャネル攻撃に対して、RAM にある秘密鍵に対する保護を追加しました。このリリースでは、ランダムデータ (現在 16KB) で設定される比較的大きなプレキーから派生した対称鍵で秘密鍵が使用されていない場合に、秘密鍵を暗号化します。

(BZ#1952957)

OpenSSH ではデフォルトでロケール転送が無効になっています

コンテナーや仮想マシンなどの小さなイメージで C.UTF-8 ロケールを使用すると、従来の en_US.UTF-8 ロケールを使用するよりもサイズが小さくなり、パフォーマンスが向上します。

ほとんどのディストリビューションは、デフォルトでロケール環境変数を送信し、サーバー側でそれらを受け入れます。ただし、これは、C または C.UTF-8 以外のロケールを使用するクライアントから glibc-langpack-en または glibc-all-langpacks パッケージがインストールされていないサーバーに SSH 経由でログインすると、ユーザーエクスペリエンスが低下することを意味します。具体的には、UTF-8 形式の出力が壊れており、一部のツールが機能しないか、頻繁に警告メッセージを送信していました。

この更新により、OpenSSH ではロケール転送がデフォルトでオフになります。これにより、クライアントが少数のロケールのみをサポートする最小限のインストールでサーバーに接続する場合でも、ロケールを実行可能に保つことができます。

(BZ#2002734)

OpenSSH は U2F/FIDO セキュリティーキーをサポートします

以前は、ハードウェアに格納された OpenSSH キーは、SSH での他のセキュリティーキーの使用を制限する PKCS#11 標準を介してのみサポートされていました。U2F/FIDO セキュリティーキーのサポートはアップストリームで開発され、現在 RHEL 9 に実装されています。これにより、PKCS#11 インターフェイスに関係なく SSH 内のセキュリティーキーの使いやすさが向上します。

(BZ#1821501)

バージョン 4.6 で提供される Libreswan

RHEL 9 では、Libreswan はアップストリームバージョン 4.6 で提供されています。このバージョンは、多くのバグ修正と機能拡張を提供します。特に、インターネットキーエクスチェンジバージョン 2 (IKEv2) で使用されるラベル付き IPsec の改善です。

(BZ#2017355)

Libreswan はデフォルトで IKEv1 パッケージを受け入れません

Internet Key Exchange v2(IKEv2) プロトコルが広く展開されているため、Libreswan はデフォルトで IKEv1 パケットをサポートしなくなりました。IKEv2 では、より安全な環境と攻撃に対する回復力が実現されています。シナリオで IKEv1 を使用する必要がある場合は、ikev1-policy=accept オプションを /etc/ipsec.conf 設定ファイルに追加することで有効にできます。

(BZ#2039877)

RHEL 9 は stunnel5.62 を提供します

RHEL 9 は、stunnel パッケージバージョン 5.62 とともに配布されます。主なバグ修正と機能強化は、以下のとおりです。

  • FIPS モードのシステムでは、stunnel は常に FIPS モードを使用するようになりました。
  • NO_TLSv1.1NO_TLSv1.2、および NO_TLSv1.3 オプションは、それぞれ NO_TLSv1_1NO_TLSv1_2、および NO_TLSv1_3 に名前が変更されました。
  • 新しいサービスレベルの sessionResume オプションは、セッションの再開を有効または無効にします。
  • LDAP が protocol オプションを使用して stunnel クライアントでサポートされるようになりました。
  • Bash-completion スクリプトが利用できるようになりました。

(BZ#2039299)

RHEL 9 は nettle 3.7.3 を提供します。

RHEL 9 は、nettle パッケージ 3.7.3 バージョンに、バグ修正および機能強化を複数提供します。主な変更は以下のとおりです。

  • 新しいアルゴリズムとモード (Ed448SHAKE256AES-XTSSIV-CMAC など) に対応します。
  • 既存のアルゴリズムにアーキテクチャー固有の最適化を追加します。

(BZ#1986712)

RHEL 9 が p11-kit 0.24 を提供

RHEL 9 では、p11-kit パッケージに 0.24 バージョンが提供されます。このバージョンでは、バグ修正および機能強化が複数追加されました。特に、信頼できない認証局を保存するサブディレクトリーの名前が blocklist に変更されました。

(BZ#1966680)

cyrus-sasl は Berkeley DB の代わりに GDBM を使用

cyrus-sasl パッケージは、libdb 依存関係なしで構築されるようになりました。sasldb プラグインは、Berkeley DB ではなく GDBM データベース形式を使用します。古い Berkeley DB 形式で保存されている既存の Simple Authentication and Security Layer (SASL) データベースを移行するには、cyrusbdb2current を使用します。以下の構文を使用します。

cyrusbdb2current <sasldb_path> <new_path>

(BZ#1947971)

RHEL 9 の SELinux ポリシーは、現在のカーネルで最新のものになる

SELinux ポリシーに、カーネルの一部でもある新しいパーミッション、クラス、およびケイパビリティが含まれるようになりました。そのため、SELinux はカーネルの持つポテンシャルを最大限に活用することができます。特に、SELinux ではパーミッション付与の粒度が改善され、セキュリティー上の利点が得られました。また、MLS SELinux ポリシーは、システムにポリシーに対して不明なパーミッションが含まれていた場合に、一部のシステムを起動させなくしていたため、これにより、MLS SELinux ポリシーでシステムを起動できるようになります。

(BZ#1941810、BZ#1954145)

デフォルトの SELinux ポリシーにより、テキスト再配置ライブラリーのコマンドが禁止されます。

インストール済みシステムのセキュリティーフットプリントを向上させるために、selinuxuser_execmod ブール値がデフォルトでオフになりました。そのため、ライブラリーファイルに textrel_shlib_t ラベルがない場合は、SELinux ユーザーは、テキストの再配置を必要とするライブラリーを使用してコマンドを入力できません。

(BZ#2055822)

OpenSCAP はバージョン 1.3.6 で提供

RHEL 9 にはバージョン 1.3.6 に OpenSCAP が含まれており、バグ修正および改善点が提供されます。以下に例を示します。

  • --local-files オプションを使用してスキャン中にダウンロードするのではなく、リモート SCAP ソースデータストリームコンポーネントのローカルコピーを指定できます。
  • OpenSCAP は、複数の --rule 引数を受け入れて、コマンドラインで複数のルールを選択します。
  • --skip-rule オプションを使用して、一部のルールの評価を省略できます。
  • OSCAP_PROBE_MEMORY_USAGE_RATIO 環境変数を使用して、OpenSCAP プローブによって消費されるメモリーを制限できます。
  • OpenSCAP は、修復タイプとして OSBuild ブループリントをサポートするようになりました。

(BZ#2041782)

OSCAP Anaconda Add-on が、新しいアドオン名に対応しました。

この改善により、OSCAP Anaconda アドオン プラグインのキックスタートファイルにある従来の org_fedora_oscap アドオン名とは異なり、新しい com_redhat_oscap アドオン名を使用できるようになりました。キックスタートセクションの設定は、以下のようになります。

%addon com_redhat_oscap
   content-type = scap-security-guide
%end

OSCAP Anaconda Add-on は、現在、従来のアドオン名と互換性がありますが、今後のメジャーバージョンの RHEL では、従来のアドオン名に対するサポートが削除されます。

(BZ#1893753)

CVE OVAL フィードが圧縮される

今回の更新で、Red Hat は CVE OVAL フィードを圧縮形式で提供するようになりました。これらは XML ファイルとしては利用できなくなりますが、代わりに bzip2 形式になります。RHEL9 のフィードの場所も、この変更を反映するように更新されています。圧縮されたコンテンツの参照は標準化されていないため、サードパーティーの SCAP スキャナーでは、圧縮されたフィードを使用するスキャンルールで問題が発生する可能性があることに注意してください。

(BZ#2028435)

バージョン 0.1.60 で提供される SCAP セキュリティーガイド

RHEL 9 には、バージョン 0.1.60 の scap-security-guide パッケージが含まれています。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • PAM スタックを強化するルールは、設定ツールとしてauthselectを使用するようになりました。
  • SCAP セキュリティーガイドは、STIG プロファイルのデルタ調整ファイルを提供するようになりました。この調整ファイルは、DISA の自動化された STIG と SSG の自動化されたコンテンツの違いを表すプロファイルを定義します。

(BZ#2014561)

RHEL 9.0 で対応する SCAP セキュリティーガイドプロファイル

RHEL 9.0 に含まれている SCAP セキュリティーガイドコンプライアンスプロファイルを使用すると、発行組織からの推奨事項に合わせてシステムを強化できます。その結果、関連する修復と SCAP プロファイルを使用して、必要な強化レベルに応じて RHEL 9 システムのコンプライアンスを設定および自動化できます。

プロファイル名プロファイル IDポリシーバージョン

Security of Information Systems (ANSSI) BP-028 Enhanced Level

xccdf_org.ssgproject.content_profile_anssi_bp28_enhanced

1.2

French National Agency for the Security of Information Systems (ANSSI) BP-028 High Level

xccdf_org.ssgproject.content_profile_anssi_bp28_high

1.2

French National Agency for the Security of Information Systems (ANSSI) BP-028 Intermediary Level

xccdf_org.ssgproject.content_profile_anssi_bp28_intermediary

1.2

French National Agency for the Security of Information Systems (ANSSI) BP-028 Minimal Level

xccdf_org.ssgproject.content_profile_anssi_bp28_minimal

1.2

[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server

xccdf_org.ssgproject.content_profile_cis

ドラフト[a]

[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Server

xccdf_org.ssgproject.content_profile_cis_server_l1

ドラフト[a]

[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Workstation

xccdf_org.ssgproject.content_profile_cis_workstation_l1

ドラフト[a]

[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Workstation

xccdf_org.ssgproject.content_profile_cis_workstation_l2

ドラフト[a]

[DRAFT] Unclassified Information in Non-federal Information Systems and Organizations (NIST 800-171)

xccdf_org.ssgproject.content_profile_cui

r2

Australian Cyber Security Centre (ACSC) Essential Eight

xccdf_org.ssgproject.content_profile_e8

バージョン付けなし

Health Insurance Portability and Accountability Act (HIPAA)

xccdf_org.ssgproject.content_profile_hipaa

バージョン付けなし

Australian Cyber Security Centre (ACSC) ISM Official

xccdf_org.ssgproject.content_profile_ism_o

バージョン付けなし

[DRAFT] Protection Profile for General Purpose Operating Systems

xccdf_org.ssgproject.content_profile_ospp

4.2.1

PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_pci-dss

3.2.1

[ドラフト] DISA STIG for Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig

ドラフト[b]

[ドラフト] DISA STIG with GUI for Red Hat Enterprise Linux 9

xccdf_org.ssgproject.content_profile_stig_gui

ドラフト[b]

[a] CIS は RHEL 9 の公式ベンチマークを公開していません。
[b] DISA は RHEL 9 の公式ベンチマークを公開していません。
警告

自動修正によりシステムが機能しなくなる場合があります。テスト環境で修復を最初に実行します。

(BZ#2045341, BZ#2045349, BZ#2045361, BZ#2045368, BZ#2045374, BZ#2045381, BZ#2045386, BZ#2045393, BZ#2045403)

RHEL 9 が fapolicyd 1.1 を提供

RHEL 9 には、fapolicyd パッケージバージョン 1.1 が同梱されています。以下は、主な変更点です。

  • 実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。詳細については、新しい fagenrules (8) の man ページを参照してください。
  • RPM データベース外のファイルを信頼できるものとしてマークするための /etc/fapolicyd/fapolicyd.trust ファイルに加えて、信頼できるファイルのリストをより多くのファイルに分割することをサポートする新しい /etc/fapolicyd/trust.d ディレクトリーを使用できるようになりました。これらのファイルに --trust-file ディレクティブを指定して fapolicyd-cli-f サブコマンドを使用して、ファイルのエントリーを追加することもできます。詳細については、fapolicyd-cli(1) および fapolicyd.trust(13) の man ページを参照してください。
  • fapolicyd trust データベースは、ファイル名の空白をサポートするようになりました。
  • fapolicyd は、ファイルを信頼データベースに追加するときに、実行可能ファイルへの正しいパスを格納するようになりました。

(BZ#2032408)

Rsyslog には、より高性能な操作と CEF のための mmfields モジュールが含まれます

Rsyslog には、mmfields モジュールを提供する rsyslog-mmfields サブパッケージが含まれるようになりました。これは、プロパティー置き換えフィールド抽出を使用する代わりの方法ですが、プロパティー置き換えとは対照的に、すべてのフィールドが一度に抽出され、構造化データ部分の内部に格納されます。その結果、特に Common Event Format (CEF) などのログ形式を処理する場合や、多数のフィールドが必要であったり特定のフィールドを再使用したりする場合などに、mmfields を使用できます。このような場合の mmfields のパフォーマンスは、既存の Rsyslog 機能よりも優れています。

(BZ#2027971)

logrotate が別の rsyslog-logrotate に同梱されている

logrotate 設定は、メインの rsyslog パッケージから新しい rsyslog-logrotate パッケージに分離されました。これは、ログローテーションが必要ないなど、特定の最小環境で役立ち、不要な依存関係のインストールを防ぎます。

(BZ#1992155)

sudo が Python プラグインをサポート

RHEL 9 に含まれる sudo プログラムバージョン 1.9 では、Python で sudo プラグインを作成できます。これにより、特定のシナリオに合わせて sudo をより正確に改良することが容易になります。

詳細は、sudo_plugin_python(8) man ページを参照してください。

(BZ#1981278)

バージョン 2.5.2 で提供される libseccomp

RHEL 9.0 は、アップストリームバージョン 2.5.2 で libseccomp パッケージを提供します。このバージョンでは、以前のバージョンに比べて多くのバグ修正と機能拡張を提供します。

  • Linux の syscall テーブルがバージョン v5.14-rc7 に更新されました。
  • 通知ファイル記述子を取得するために、get_notify_fd() 関数が Python バインディングに追加されました。
  • すべてのアーキテクチャーの多重化されたシステムコール処理が 1 つの場所に統合されました。
  • 多重化されたシステムコールのサポートが、PowerPC (PPC) および MIPS アーキテクチャーに追加されました。
  • カーネル内で SECCOMP_IOCTL_NOTIF_ID_VALID 操作の意味が変更されました。
  • libseccomp ファイル記述子通知ロジックは、カーネルの以前および新しい SECCOMP_IOCTL_NOTIF_ID_VALID の使用をサポートするように変更されました。
  • seccomp_load () を 1 回しか呼び出せなかったバグを修正しました。
  • フィルターに _NOTIFY アクションがある場合にのみ、通知 fd を要求するように通知 fd 処理を変更しました。
  • SCMP_ACT_NOTIFY に関するドキュメントを seccomp_add_rule(3) のマンページに追加しました。
  • メンテナーの GPG キーを明確にしました。

(BZ#2019887)

Clevis が SHA-256 に対応しました。

この改善により、Clevis フレームワークは、RFC 7638 が推奨する JSON Web 鍵 (JWK) サムプリントのデフォルトハッシュとして SHA-256 アルゴリズムに対応します。古いサムプリント (SHA-1) にも対応しているため、以前に暗号化したデータは復号できます。

(BZ#1956760)