第10章 セキュリティー

ドラフトとして提供される CIS および DISA STIG プロファイル

Center for Internet Security (CIS) および Defense Industry Security Association Security Technical Implementation Guides (DISA STIG) のベンチマークに基づくプロファイルは、発行機関が RHEL 9 の公式ベンチマークをまだ公開していないため、ドラフトとして提供されています。さらに、OSSP プロファイルは実装されているため、ドラフトに含まれています。

OpenSCAP が SHA-1 および MD5 に対応しなくなる

Red Hat Enterprise Linux 9 では SHA-1 ハッシュ関数および MD5 ハッシュ関数が削除されたため、OVAL filehash_test のサポートが OpenSCAP から削除されました。また、OpenSCAP の OVAL filehash58_test 実装から、SHA-1 ハッシュ関数および MD5 ハッシュ関数への対応が非推奨になりました。その結果、OpenSCAP は、OVAL filehash_test を notchecked として使用する SCAP コンテンツのルールを評価します。また、filehash58_object 内の hash_type 要素が SHA-1 または MD5 に設定されている OVAL filehash58_test を評価すると、OpenSCAP は notchecked を返します。

OpenSCAP は、XCCDF ファイルの代わりにデータストリームファイルを使用します。

SCAP ソースデータストリームファイル (ssg-rhel9-ds.xml) には、以前のバージョンの RHEL では XCCDF ファイル (ssg-rhel9-xccdf.xml) に含まれていたすべてのデータが含まれています。SCAP ソースデータストリームは、コンプライアンススキャンの実行に必要なすべてのコンポーネント (XCCDF、OVAL、CPE) を含むコンテナーファイルです。RHEL 7 以降、XCCDF の代わりに SCAP ソースデータストリームを使用することが推奨されています。RHEL の以前のバージョンでは、XCCDF ファイルと SCAP ソースデータストリームのデータが重複していました。RHEL 9 では、RPM パッケージのサイズを縮小するために、この重複が削除されています。シナリオでデータストリームの代わりに個別のファイルを使用する必要がある場合は、# oscap ds sds-split /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml output_directory コマンドを使用してデータストリームファイルを分割することができます。