第6章 セキュリティー

sudo ユーティリティーは、sudoers エントリーの /etc/nsswitch.conf ファイルを参照し、ファイルで、または LDAP を使用して検索できます。以前は、sudoers エントリーの最初のデータベースで一致するものが見つかると、ルックアップ操作は他のデータベース（ファイルを含む）で継続されていました。Red Hat Enterprise Linux 6.4 では、ユーザーが sudoers エントリーの一致が十分にあるデータベースを指定できるように、/etc/nsswitch.conf ファイルにオプションが追加されました。これにより、他のデータベースにクエリーを行う必要がなくなります。これにより、大規模な環境での sudoers エントリールックアップのパフォーマンスが向上します。この動作はデフォルトでは有効になっていないため、選択したデータベースの後に [SUCCESS=return] 文字列を追加して設定する必要があります。この文字列に直接あるデータベースで一致が見つかった場合、他のデータベースはクエリーされません。

pam_cracklib モジュールが更新され、新しいパスワード強度チェックが複数追加されるようになりました。

複数の tmpfs マウントがあるシステムでは、すべてのシステムメモリーを占有しないようにサイズを制限する必要があります。PAM は、/etc/namespace.conf 設定ファイルで mntopts=size= <size> オプションを使用して、tmpfs ポリゲーションを使用する場合に tmpfs ファイルシステムマウントの最大サイズ を指定できるように更新されました。

特定の認証ポリシーでは、一定期間使用されないアカウントのロックのサポートが必要です。Red Hat Enterprise Linux 6.4 では、pam_lastlog モジュールに追加の機能が導入されています。これにより、設定可能な日数後にユーザーがアカウントをロックできるようになりました。

IBM System z 上の IBM eServer Cryptographic Accelerator (ICA)ハードウェアにアクセスするための一連の機能とユーティリティーを含む libica ライブラリーが変更され、Central Security Assist for Cryptographic Function (CPACF)の Message Security Assist Extension 4 命令をサポートする新しいアルゴリズムを使用できるようになりました。DES および 3DES ブロック暗号では、以下の操作モードがサポートされるようになりました。

AES ブロック暗号の場合、次の操作モードがサポートされるようになりました。

これにより、複雑な暗号化アルゴリズムの高速化により、IBM System z マシンのパフォーマンスが大幅に向上します。

汎用の損失レスデータ圧縮ライブラリーである zlib ライブラリーが更新され、IBM System z で圧縮パフォーマンスが向上しました。

iptables サービスおよび ip6tables サービスは、デフォルト設定を適用できない場合に、フォールバックファイアウォール設定を割り当てる機能を提供するようになりました。/etc/sysconfig/iptables からファイアウォールルールを適用できない場合、フォールバックファイルが存在する場合はそれが適用されます。フォールバックファイルは /etc/sysconfig/iptables.fallback という名前で、iptables-save ファイル形式を使用します( /etc/sysconfig/iptablesと同じ)。フォールバックファイルの適用も失敗すると、フォールバックはありません。フォールバックファイルを作成するには、標準のファイアウォール設定ツールを使用し、ファイルの名前を変更またはフォールバックファイルにコピーします。ip6tables サービスに同じプロセスを使用し、出現する 「iptables」 をすべて 「ip6tables」 に置き換えます。