第13章 セキュリティー
基本的なシステムコンポーネントに TLS 1.2 サポートを追加
これらの更新により、
yum、stunnel、vsftpd、Git、Postfix などの基本的なシステムツールが変更され、TLS プロトコルの 1.2 バージョンをサポートするようになりました。これは、古いバージョンのプロトコルに存在するセキュリティーエクスプロイトからツールが脆弱にならないようにするためです。(BZ#1253743)
NSS はデフォルトで TLS バージョン 1.2 プロトコルを有効にするようになりました
現在のベストプラクティスを満たすために、Transport Layer Security (TLS) 1.2 プロトコルが NSS でデフォルトで有効になっています。つまり、NSS ライブラリーのデフォルトを使用するアプリケーションで明示的に有効にする必要はありません。
TLS 接続の両側が TLS 1.2 を有効にすると、このプロトコルバージョンが自動的に使用されるようになりました。(BZ#1272504)
Pycurl は、TLSv1.1 または 1.2 を必要とするオプションを提供するようになりました
今回の更新により、
pycurl が TLS プロトコルの 1.1 または 1.2 バージョンの使用を要求することを可能にするオプションをサポートするように強化され、通信のセキュリティーが向上しました。(BZ#1260406)
PHP cURL モジュールが TLS 1.1 および TLS 1.2 をサポートするようになりました。
libreswanを優先して Opens wan が 非推奨になりました。
openswan パッケージは非推奨となり、libreswan パッケージが
openswan の直接置き換えとして導入されました。Libreswan は、Red Hat Enterprise Linux 6 用のより安定性で安全な VPN ソリューションです。Libreswan は、Red Hat Enterprise Linux 7 の VPN エンドポイントソリューションとしてすでに利用可能です。システムのアップグレード中に、Opens wan が libreswan に置き換えられます。openswan から libreswan に移行する方法は、https://access.redhat.com/articles/2089191 を参照してください。
openswan パッケージはリポジトリーで引き続き利用できることに注意してください。
libreswan の代わりに openswan をインストールするには、yum の -x オプションを使用して libreswan を除外します:yum install openswan -x libreswan。(BZ#1266222)
GlusterFS 用の SELinux サポートが追加されました
今回の更新により、SELinux の強制アクセス制御が Red Hat Gluster Storage の一部として glusterd (GlusterFS Management Service)および glusterfsd (NFS サーバー)プロセスに提供されるようになりました。(BZ#1241112)
shadow-utils がバージョン 4.1.5.1 にリベース
ユーザーアカウントおよびグループアカウントを管理するユーティリティーを提供する shadow-utils パッケージがバージョン 4.1.5.1 にリベースされました。これは、Red Hat Enterprise Linux 7 の shadow-utils のバージョンと同じです。機能強化には、改善された監査が含まれます。これは、ユーザーアカウントデータベースにおけるシステム管理者アクションの記録を改善するために修正されました。このパッケージに追加された主な新機能は、各ツールの the-
root オプションを使用した chroot 環境での操作のサポートです。(BZ#1257643)
audit がバージョン 2.4.5 にリベース
Linux カーネルの 監査 サブシステムによって生成された監査レコードを保存および検索するためのユーザー空間ユーティリティーを提供する
audit パッケージがバージョン 2.4.5 にリベースされました。この更新には、イベントを簡単に理解できるように、より多くのシステムコール名と引数を提供する、強化されたイベント解釈機能が含まれます。
この更新では、
auditd がイベントをディスクを記録する方法において重要な動作も変更されています。auditd.conf で フラッシュ 設定に data または sync モードのいずれかを使用している場合は、auditd のログ機能にパフォーマンスが低下します。これは、以前は、完全な同期書き込みを使用する必要があることをカーネルに適切に通知しないためです。これは修正され、操作の信頼性が向上しましたが、これはパフォーマンスを犠牲にしています。パフォーマンス低下が許容できない場合、flush 設定を incremental に変更する必要があります。freq 設定は、すべてのレコードをディスクに同期するようカーネルに指示する頻度を制御します。100 を 頻繁 に設定すると、新しいレコードが定期的にディスクにフラッシュされる一方で、パフォーマンスが良好になります。(BZ#1257650)
LWP がホスト名と証明書の検証をサポートするようになりました
証明書およびホスト名の検証(デフォルトでは無効になっている)は、Perl (LWP、libwww-perl とも呼ばれる)の World Wide Web ライブラリーに実装されています。これにより、
LWP::UserAgent Perl モジュールのユーザーは、HTTPS サーバーの ID を検証できます。検証を有効にするには、IO::Socket::SSL Perl モジュールがインストールされ、PERL_LWP_SSL_VERIFY_HOSTNAME 環境変数が 1 に設定されているか、アプリケーションが変更されて ssl_opts オプションが正しく設定されていることを確認します。詳細は、LWP::UserAgent POD を参照してください。(BZ#745800)
perl Net:SSLeay が楕円曲線パラメーターをサポートするようになりました。
elliptic-curve パラメーターのサポートが、OpenSSL ライブラリーへのバインディングが含まれる Perl
Net:SSLeay モジュールに追加されました。つまり、EC_KEY_new_by_curve_name ()、EC_KEY_free*()、SSL_CTX_set_tmp_ecdh ()、および OBJ_txt2nid () サブルーチンがアップストリームからポートされています。これは、IO::Socket::SSL Perl モジュールでの Elliptic Curve Diffie-Hellman Exchange (ECDHE)鍵交換のサポートに必要です。(BZ#1044401)
perl IO::Socket::SSL が ECDHE をサポートするようになりました
Elliptic Curve Diffie-Hellman Exchange (ECDHE)のサポートが
IO::Socket::SSL Perl モジュールに追加されました。新しい SSL_ecdh_curve オプションを使用して、オブジェクト識別子(OID)または名前識別子(NID)が適切な曲線を指定できます。その結果、IO::Socket:SSL を使用して TLS クライアントを実装するときに、デフォルトの楕円曲線パラメーターをオーバーライドできるようになりました。(BZ#1078084)
OpenSCAP がバージョン 1.2.8 にリベースされました。
SCAP 標準の統合パスを提供する一連のライブラリーが、最新のアップストリームバージョンである 1.2.8 にリベースされました。OVAL-5.11 および OVAL-5.11.1 言語バージョンのサポートには、詳細なモードの導入があります。これは、スキャンの実行の詳細を理解するのに役立ちます。oscap-ssh と oscap-vm は、SSH を介したスキャンと、非アクティブな仮想システムのスキャン、bz2 アーカイブのネイティブサポート、HTML レポートおよびガイド用の最新のインターフェイスです。(BZ#1259037)
scap-workbench がバージョン 1.1.1 にリベースされました。
scap-workbench パッケージがバージョン 1.1.1 にリベースされ、新しい SCAP セキュリティーガイドの統合ダイアログが提供されています。これは、管理者がコンテンツファイルを選択する代わりにスキャンする必要のある製品を選択するのに役立ちます。また、新しいバージョンでは、テーラリングウィンドウでのルール検索が改善され、GUI を使用して SCAP コンテンツのリモートリソースを取得できるなど、多くのパフォーマンスとユーザー有効期限が向上しています。(BZ#1269551)
scap-security-guide がバージョン 0.1.28 にリベース
scap-security-guide パッケージが、最新のアップストリームバージョン(0.1.28)にリベースされ、数多くの重要な修正と機能強化が提供されています。これには、Red Hat Enterprise Linux 6 と 7 の両方に対する複数の改善または完全に新しいプロファイルが含まれています。これには、多くのルールに対する自動チェックと修復スクリプトが追加され、人間が読みやすい OVAL ID をリリース間で一貫したか、HTML 形式のガイドが各プロファイルに付随する HTML 形式のガイドが追加されます。(BZ#1267509)
luciで SSLv3 および RC4 のサポートが無効になっている
安全でない SSLv3 プロトコルおよび RC4 アルゴリズムの使用は、Web ベースの高可用性管理アプリケーションである
luci で無効にされています。デフォルトでは、TLSv1.0 以降のプロトコルバージョンのみが許可され、自己管理の証明書に使用されるダイジェストアルゴリズムが SHA256 に更新されました。( /etc/sysconfig/luci 設定ファイルの関連セクションで allow_insecure オプションをアンコメントして) SSLv3 を再度有効にすることができますが、これはまれで予測できないケースにのみ対応するため、細心の注意を払って使用する必要があります。
今回の更新では、(上記の
allow_insecureに加えて)最も重要な SSL/TLS プロパティーと暗号リストを調整する可能性も追加されています。これらの設定は、グローバルに使用することも、安全なチャネル(HTTPS Web UI アクセスと ricci インスタンスとの接続)の両方に対して使用することもできます。(BZ#1156167)
