8.2. セキュリティー

scap-workbench が削除される

RHEL 10 では scap-workbench パッケージが削除されます。scap-workbench グラフィカルユーティリティーは、単一のローカルシステムまたはリモートシステム上で設定および脆弱性スキャンを実行するように設計されています。代わりに、oscap コマンドを使用してローカルシステムの設定コンプライアンスをスキャンし、oscap-ssh コマンドを使用してリモートシステムをスキャンすることもできます。詳細は、設定コンプライアンススキャン を参照してください。

oscap-anaconda-addon が削除される

RHEL 10 では、グラフィカルインストールを使用してベースライン準拠の RHEL システムをデプロイする手段を提供していた oscap-anaconda-addon が削除されました。代わりに、RHEL Image Builder OpenSCAP インテグレーションを使用して事前に強化されたイメージを作成 することで、特定の標準に準拠した RHEL イメージを構築できます。

CVE OVALv2 フィードが提供されなくなる

OpenSCAP スイートによって処理される宣言型セキュリティーデータを含む Common Vulnerabilities and Exposures (CVE) Open Vulnerability Assessment Language (OVAL) バージョン 2 フィードは、RHEL 10 では提供されません。Red Hat は、CVE OVALv2 フィードの後継である Common Security Advisory Framework (CSAF) 形式および Vulnerability Exploitability eXchange (VEX) ファイルで、宣言型セキュリティーデータを引き続き提供します。OpenSCAP スイートは OVAL モジュールを保持しているため、引き続き OVAL データ形式を使用できます。

DSA および SEED アルゴリズムが NSS から削除される

Digital Signature Algorithm (DSA) は、National Institute of Standards and Technology (NIST) によって作成され、現在は NIST によって完全に非推奨となっており、ネットワークセキュリティーサービス (NSS) 暗号化ライブラリーから削除されています。代わりに、RSA や ECDSA などのアルゴリズムを使用できます。

fips-mode-setup が削除される

fips-mode-setup コマンドは RHEL から削除されました。連邦情報処理規格 (FIPS) 140 で義務付けられている暗号化モジュールの自己チェックを有効にするには、システムのインストール時に FIPS モードを有効にします。詳細は、セキュリティー強化 ドキュメントの RHEL を FIPS モードに切り替えるの章 を参照してください。

/etc/system-fips が削除される

/etc/system-fips ファイルを通じて FIPS モードを示すサポートが、RHEL から削除されました。FIPS モードで RHEL をインストールするには、システムのインストール時に fips=1 パラメーターをカーネルコマンドラインに追加します。/proc/sys/crypto/fips_enabled ファイルを表示することで、RHEL が FIPS モードで動作しているかどうかを確認できます。

HeartBeat が TLS から削除される

攻撃対象領域を減らすために、TLS の HeartBeat エクステンションのサポートは削除されました。

TLS から SRP 認証が削除される

TLS の Secure Remote Password プロトコル (SRP) を使用する認証は、gnutls パッケージから削除され、サポートされなくなりました。SRP 認証は、TLS 1.3 では使用できず、鍵交換として Cipher Block Chaining (CBC) と SHA-1 に依存しているため、安全ではないと考えられています。

Keylime が失効通知に HTTP をサポートしなくなる

Keylime コンポーネントは、失効通知 Webhook の HTTP プロトコルをサポートしなくなりました。代わりに HTTPS を使用してください。その結果、Keylime verifier には失効通知 Webhook サーバー CA 証明書が必要になります。この証明書は、trusted_server_ca 設定オプションに追加することも、システムのトラストストアに追加することもできます。

DEFAULT 暗号化ポリシーが RSA 鍵交換による TLS 暗号を拒否する

RSA 鍵交換を使用する TLS 暗号は、RHEL 10 の DEFAULT システム全体の暗号化ポリシーでは受け入れられなくなりました。これらの暗号は完全な Perfect Forward Secrecy を提供しないため、Elliptic-curve Diffie-Hellman (ECDH) 鍵交換などの他の鍵交換を使用する暗号ほど安全であるとは考えられていません。

ca-certificates トラストストアが移動される

/etc/pki/tls/certs トラストストアは、OpenSSL に最適化された別の形式に変換されます。したがって、/etc/pki/tls/certs 内のファイルを直接使用する場合は、同じデータが保存されている /etc/pki/ca-trust/extracted ディレクトリーに切り替えます。たとえば、/etc/pki/tls/certs/ca-bundle.crt のトラストバンドルにアクセスするソフトウェアは、代わりに /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem を使用するように切り替える必要があります。

LEGACY 暗号化ポリシーが TLS での SHA-1 署名を許可しない

RHEL 10 の LEGACY システム全体の暗号化ポリシーでは、TLS コンテキストで SHA-1 を使用する署名の作成または検証は許可されなくなりました。したがって、OpenSSL 以外のライブラリーは、ユースケースに関係なく、SHA-1 を使用する署名を受け入れたり作成したりできなくなる可能性があります。システムが LEGACY の場合、またはこの機能がカスタムサブポリシーで再度有効になっている場合、OpenSSL は TLS に使用されない SHA-1 を使用する署名を引き続き受け入れます。

pam_ssh_agent_auth が削除される

RHEL 10 では、pam_ssh_agent_auth パッケージが削除されました。

OpenSSL が TLS の SECLEVEL=2 で SHA-1 を許可しなくなる

RHEL 10 では、OpenSSL は TLS の SECLEVEL=2 で SHA-1 アルゴリズムを受け入れません。シナリオで TLS 1.0/1.1 を使用する必要がある場合は、明示的に SECLEVEL=0 を設定し、LEGACY システム全体の暗号化ポリシーに切り替える必要があります。LEGACY ポリシーでは、TLS 外部の署名で SHA-1 を使用するアプリケーションは引き続き動作します。

stunnel は OpenSSL ENGINE API をサポートしない

stunnel TLS オフロードおよび負荷分散プロキシーは、以前に非推奨となった OpenSSL ENGINE API をサポートしなくなりました。最も一般的なユースケースは、openssl-pkcs11 パッケージを介して PKCS #11 を使用し、ハードウェアセキュリティートークンにアクセスすることでした。代わりに、新しい OpenSSL プロバイダー API を使用する pkcs11-provider を使用できます。

OpenSSL Engine が OpenSSL から削除される

OpenSSL Engine は非推奨となり、まもなくアップストリームから削除される予定です。そのため、RHEL 10 では OpenSSL から openssl-pkcs11 パッケージが削除されました。代わりに、このバージョンでサポートされている pkcs11-provider などのプロバイダーを使用してください。

Keylime ポリシー管理スクリプトが削除され、keylime-policy に置き換えられる

RHEL 10 では、Keylime は keylime-policy ツールとともに提供されており、以下のポリシー管理スクリプトを置き換えます。