SCAP Security Guide のリリースノート

scap-security-guide パッケージは、Linux システムのセキュリティーポリシーのコレクションを提供します。このガイダンスは、セキュリティー強化に関する実践的なアドバイスのカタログから構成されます (該当する場合は、法規制要件へのリンクが含まれます)。このプロジェクトは、一般的なポリシー要件と特定の実装ガイドラインとの間にあるギャップを埋めることを目的としています。

0.1.79

• Red Hat Enterprise Linux 10 のプロファイル更新:
  • CIS プロファイルは新たに CIS Red Hat Enterprise Linux 10 ベンチマーク v1.0.1 をベースにしており、このベンチマークが対応するコンテンツが改善されています。
• すべての RHEL バージョンでは、CIS プロファイルのシステム暗号化ポリシー設定は、新しいルール configure_custom_crypto_policy_cis によって集中管理されます。このルールは、CIS ベンチマークの暗号化ポリシー要件を処理します。その結果、複数のレガシールールが CIS プロファイルから削除されます。(RHEL-111896)
• Ansible タスクとプロファイル Ansible Playbook はべき等になりました。
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • すべての CIS プロファイルは、システム暗号化ポリシーを設定するための CIS 要件に準拠するように更新されます。また、ホスト転送をオフにするように sshd を設定します。(RHEL-76009)
  • ルール enable_authselect は、コンテナーおよびコンテナーイメージのスキャン時に評価されなくなり、この場合は notapplicable の結果を返します。(RHEL-84439)
  • ルール network_ipv6_privacy_extensions の修復が、べき等性を保ち、network-scripts 設定を壊さないように修正されました。(RHEL-106813)
  • CIS プロファイルは、パスワード内の連続文字の最大数を設定します。(RHEL-128593)
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • ルール ensure_logrotate_activated の修復を修正しました (RHEL-79123)
  • ルール require_singleuser_auth の修復を修正することにより、RHEL Image Builder で STIG プロファイルによってセキュリティーが強化されたイメージのビルドを修正しました (RHEL-93151)
  • ルール aide_periodic_cron_checking が STIG プロファイルから削除されました。(RHEL-100924)
  • プロファイル CIS は、root ユーザーの PATH に存在しないディレクトリーを検出します (RHEL-102330)
  • CIS プロファイルの監査ルールが拡張され、/etc/hostname および /etc/NetworkManager/ のファイル変更も監査できるようになりました (RHEL-102331)
  • カーネルモジュールのロードの監査をカバーする監査ルールが統合され、すべてのルールで unset auid が正しく処理されるようになりました。(RHEL-102334)
  • rsyslog を設定するルールは、複数行の RainerScript 設定をサポートします。(RHEL-104207)
  • ルール require_singleuser_auth の修復はべき等性を保つように修正され、systemd 設定が壊れなくなりました。(RHEL-106811)
  • /bin/false と /bin/true の両方が、カーネルモジュールを無効にする有効な方法として新たにサポートされました。(RHEL-106814)
  • Ansible Playbook が修正され、RHEL 9.0 で systemd サービスを設定するときに失敗しなくなりました。(RHEL-117141)
  • RHEL 9 の STIG が更新され、FIPS:STIG システム全体の暗号化ポリシーが許可されるようになりました。
• Red Hat Enterprise Linux 10 の主なバグ修正:
  • ルール accounts_user_interactive_home_directory_defined は、RHEL Web コンソールの使用時に誤検知の結果を報告しなくなりました。(RHEL-118647)

0.1.78

• Red Hat Enterprise Linux 8 のプロファイル更新:
  • DISA STIG が V2R3 にアップデートされました
• Red Hat Enterprise Linux 9 のプロファイル更新:
  • BSI (ドイツ連邦安全保障情報局)IT-Grundschutz Basic-Protection (セクション 1.1 および 1.3) に準拠したプロファイルを追加しました。
  • DISA STIG が V2R5 にアップデートされました
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • service_rngd_enabled ルールは、FIPS モードで実行されていない場合に RHEL 8.4 以降で評価されるようになりました (RHEL-95188)。
  • configure_gnutls_tls_crypto_policy ルールのデフォルトの暗号順序が使用されます (RHEL-1821)。
  • Profile Bash 修復スクリプトが RPM パッケージ (RHEL-105501) に再導入されました。
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • CIS プロファイルのセクション 1.2.1.2 の範囲は、GPG チェックが無効にならないようにすることで改善されました (RHEL-102328)。
  • ルールにより、systemd 設定で等号の前後に空白が許可されます (RHEL-89714)。
  • File_permissions_sudo ルールの説明のエラーを修正し、service_cron_enabled ルールが正しいパッケージをチェックするようになりました (RHEL-89812)。
  • 必要に応じて、polkit-pkla-compat パッケージがインストールされます (RHEL-87606)。
  • auditd_freq ルールは XCCDF 変数を正しく認識します (RHEL-64013)。
• Red Hat Enterprise Linux 10 の主なバグ修正:
  • ルールにより、systemd 設定で等号の前後に空白が許可されます (RHEL-93659)。
  • systemd コアダンプルールにドロップインファイルのサポートを追加しました (RHEL-99973)
• SCE コンテンツは、ファイルシステムを横断するルールで使用できるようになりました。
  • 大規模ファイルシステムで大量のメモリーを消費するルールに SCE コンテンツを使用するように環境を設定する方法の詳細は、Red Hat ナレッジベースの Using Script Check Engine (SCE) in OpenSCAP for large filesystems を参照してください。

0.1.77

• STIG プロファイルは、最新の DISA STIG ポリシーに準拠しました。
  • Red Hat Enterprise Linux 8 から V2R3
  • Red Hat Enterprise Linux 9 から V2R4
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • ユーザー名前空間は、STIG プロファイルによって無効化されなくなりました (RHEL-76750)。
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • rsyslog_remote_loghost ルールは RainerScript 構文をサポートするようになりました (RHEL-62731)。
  • networkmanager_dns_mode ルールはドロップイン設定ファイルをチェックするようになり、より耐性のある正規表現が使用されるようになりました (RHEL-62843)。
  • GRUB 2 スーパーユーザーとパスワード設定のチェックが改善されました (RHEL-58818)
• Red Hat Enterprise Linux 10 コンテンツは、RHEL 10 コンポーネントの変更を反映するように更新されました。

0.1.76

• STIG プロファイルは、最新の DISA STIG ポリシーに準拠しました。
  • Red Hat Enterprise Linux 8 から V2R2
  • Red Hat Enterprise Linux 9 から V2R3
  • Red Hat Enterprise Linux 10 ベンダー STIG を追加しました
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • require_singleuser_auth ルールは systemd オーバーライドメカニズムを使用するようになりました (RHEL-71936)
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • require_singleuser_auth ルールは systemd オーバーライドメカニズムを使用するようになりました (RHEL-71936)
  • sysctl_user_max_user_namespaces ルールはスコア付けされず、情報のみになりました (RHEL-40120)
  • 承認された SSH 暗号のチェックを最新の STIG ポリシーに合わせて調整しました (RHEL-65432)

0.1.75

• PCI-DSS プロファイルは、次の製品の PCI-DSS ベンチマークバージョン 4.0.1 との整合性を高めるために更新されました。
  • Red Hat Enterprise Linux 8
  • Red Hat Enterprise Linux 9
• STIG プロファイルは、最新の DISA STIG ポリシーに準拠しました。
  • Red Hat Enterprise Linux 8 with V2R1
  • Red Hat Enterprise Linux 9 with V2R2
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • GRUB2 カーネルのコマンドライン引数の検出を強化して、より多くのユースケースに対応します (RHEL-53365)
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • sshd 関連のルールを調整し、チェックされた値の一貫性を確保し、ドロップイン設定ファイルがチェックされていることを確認します (RHEL-38206)
  • Image Builder 環境で動作するように mount_option_nodev_nonroot_local_partitions を調整します (RHEL-45018)
  • CIS プロファイルに chrony の存在を確認するルールを追加します (RHEL-60005)
  • STIG プロファイルから sshd_use_priv_separation ルールを削除します (RHEL-66057)
  • NetworkManager DNS モードの修復により、default の値が修復されるようになりました (RHEL-53426)

0.1.74

• CIS プロファイルは、Red Hat Enterprise Linux 9 用に v2.0.0 に更新されました。
• Red Hat Enterprise Linux 8 および 9 の主なバグ修正:
  • enable_authselect ルールによって authselect 機能が保持されることを確認します (RHEL-39383)
  • パスワードの最終変更日の確認を修正しました (RHEL-47129)
  • Journald 設定ファイルの修復により、正しい .ini ファイルセクションが作成されるようになりました (RHEL-38531)
  • CIS プロファイルのサービス要件が調整されました (RHEL-23852)
  • ANSSI プロファイルのパスワードハッシュ設定が更新されました (RHEL-44983)、(RHEL-54390)
  • RainerScript 構文をサポートするように Rsyslog ルールを改善しました (RHEL-1816)
• Red Hat Enterprise Linux 8 の主な変更点:
  • ssg-rhel8-ds-1.2.xml および ssg-firefox-ds-1.2.xml データストリームは提供されなくなりました。これらは、それぞれのデータストリーム (ssg-rhel8-ds.xml または ssg-firefox-ds.xml) へのシンボリックリンクに置き換えられます。
  • Red Hat Enterprise Linux 7 コンテンツは更新されなくなり、0.1.73 バージョンで提供された状態のままになります。
• Red Hat Enterprise Linux 9 の主な変更点:
  • この STIG 更新は CCI 参照のみに影響するため、このリリースでは STIG プロファイルは V2R1 にアップグレードされません。

0.1.73

• ANSSI プロファイル は、最新のポリシーバージョン 2.0 との整合性を高め、次の製品のポリシー適用範囲を拡大するために更新されました。
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8
  • Red Hat Enterprise Linux 9
• STIG プロファイル は、最新の DISA STIG ポリシーに準拠しました。
  • Red Hat Enterprise Linux 8 (V1R14)
  • Red Hat Enterprise Linux 9 (V1R3)
• security_patches_up_to_date ルールが無効になっているため、このルールの評価結果は notchecked になります。また、このルールの修復は提供されるコンテンツには含まれません。
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • CUI プロファイル で使用される暗号化ポリシーを FIPS に変更します (RHEL-30346)
  • Rsyslog 設定におけるファイルパス識別を修正しました (RHEL-17202)
  • STIG プロファイル で正しい chrony サーバーアドレスを使用します (RHEL-1814)
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • 引用符で囲まれていない場合でも sudo オプションを正しく解析します (RHEL-31976)
  • キックスタートファイル内の Web リンクが有効であることを確認します (RHEL-30735)
  • 許可された SSH 暗号のセットを STIG 要件に合わせて調整します (RHEL-29684)
  • /etc/sysconfig/network-scripts 内のファイルの監査を有効にするルールを追加します (RHEL-1093、RHEL-29308)
  • STIG GUI プロファイル からユーザー名前空間を制限するルールを削除します (RHEL-10416)

0.1.72

• 最新のベンチマークに合わせて CIS プロファイル を更新します。
  • CIS Red Hat Enterprise Linux 7 Benchmark v4.0.0 - 12-21-2023
  • CIS Red Hat Enterprise Linux 8 Benchmark v3.0.0 - 10-30-2023 (関連のチケット: RHEL-1314)
• 次の製品については、PCI DSS プロファイル が PCI DSS ポリシーバージョン 4.0 に準拠しました。
  • Red Hat Enterprise Linux 7
  • Red Hat Enterprise Linux 8 (RHEL-1808)
  • Red Hat Enterprise Linux 9
• STIG プロファイルは、最新の DISA STIG ポリシーに準拠しました。
  • Red Hat Enterprise Linux 7 (V3R14)
  • Red Hat Enterprise Linux 8 (V1R13)
  • Red Hat Enterprise Linux 9 (V1R2)
• Red Hat Enterprise Linux 7 の主なバグ修正:
  • ルール audit_rules_privileged_commands が Dracut によって作成された一時ファイルによって発生した誤検知を報告しないことを確認します (RHEL-11938)
• Red Hat Enterprise Linux 8 の主なバグ修正:
  • ksh を含むより多くのシェルとの accounts_tmout ルールの互換性を向上します (RHEL-16896 および RHEL-1811)
  • 定義された時間後にアイドル状態のユーザーセッションを終了するルールを追加します (RHEL-1801)
  • ルール ensure_pam_wheel_group_empty がパフォーマンス向上のために最適化され、報告されるルール結果がより明確になりました (RHEL-1905)
  • display_login_attempts ルールの修復によって冗長な設定エントリーが作成されないようにします (RHEL-1809)
  • 他の修正済みのバグ:RHEL-1313、RHEL-1817、RHEL-1819、RHEL-1820、RHEL-1904、RHEL-19127
• Red Hat Enterprise Linux 9 の主なバグ修正:
  • /etc/systemd/journald.conf.d/ ディレクトリー内のドロップインファイルを確認します (RHEL-14484)
  • オフラインモードでの /dev/shm マウントオプションの修復を無効にします (RHEL-16801)
  • 他の修正済みのバグ:RHEL-1484、RHEL-1489、RHEL-17417、RHEL-17418

0.1.69

• ANSSI プロファイルがバージョン 2.0 に更新されました。
• CCN-STIC-610A22 ガイドに沿って、RHEL 9 に 3 つの新しい SCAP プロファイルが追加されました。

• 0.1.69-3 アップデート - RHEL 9.0.Z.EUS、RHEL 9.2.Z.EUS、および RHEL 9.3.Z で利用可能です。
  • RHEL 9 STIG プロファイルを DISA STIG RHEL-1807 と整合させます。

0.1.66

• RHEL 8 STIG プロファイルの更新
• ルール account_passwords_pam_faillock_audit は廃止され、accounts_passwords_pam_faillock_audit に置き換えられました。

0.1.63

• sysctl、grub2、pam_pwquality、およびビルド時のカーネル設定の新しいコンプライアンスルールが追加されました。
• PAM スタックを強化するルールでは、設定ツールとして authselect が使用されるようになりました。注記:この変更により、PAM スタックが他の手段で編集された場合、PAM スタックを強化するルールは適用されなくなります。

0.1.60

• PAM スタックを強化するルールでは、設定ツールとして authselect が使用されるようになりました。
• DISA STIG の自動 SCAP コンテンツと、標準の自動 SCAP コンテンツとの差分 (デルタテーラリング) を定義したプロファイルを含むテーラリングファイルが、新たにサポートされました。
• ルール xccdf_org.ssgproject.content_enable_fips_mode は、FIPS モードが適切に有効化されているかどうかのみをチェックするようになりました。システムコンポーネントが FIPS 認定を受けていることを保証するものではありません。

0.1.54

• Operating System Protection Profile (OSPP) は、Red Hat Enterprise Linux 8.4 の汎用オペレーティングシステムの保護プロファイルに従って更新されました。
• フランス国家安全保障局 (ANSSI) の ANSSI BP-028 勧告に基づいた ANSSI プロファイルファミリーが導入されました。コンテンツには、最小、中程度、および拡張強化レベルのルールを実装するプロファイルが含まれています。
• セキュリティー技術実装ガイド (STIG) セキュリティープロファイルが更新され、最近リリースされたバージョン V1R1 のルールが実装されています。

0.1.50

• Ansible コンテンツが改善されました。多数のルールに初めて Ansible 修復が含まれ、その他のルールもバグ修正に対応するために更新されました。
• RHEL7 システムをスキャンするための scap-security-guide コンテンツに対して修正と改善が加えられています。
  • scap-security-guide パッケージは、CIS RHEL 7 ベンチマーク v2.2.0 に準拠したプロファイルを提供するようになりました。
    CIS プロファイルの rpm_verify_permissions ルールは正しく機能しないことに注意してください。BZ-1843913 - CIS プロファイルで rpm_verify_permissions が失敗する という既知の問題を参照してください。
  • SCAP Security Guide プロファイルは、開始すべきでないサービスを適切に無効化およびマスクするようになりました。
  • scap-security-guide パッケージの audit_rules_privileged_commands ルールが特権コマンドに対して正しく機能するようになりました。
  • scap-security-guide パッケージの dconf_gnome_login_banner_text ルールの修復が誤って失敗しなくなりました。