第11章 セキュリティー

GnuTLS コンポーネントに TLS 1.2 サポートが追加されたため、Red Hat Enterprise Linux 6 は、同梱されたセキュリティーライブラリー( OpenSSL、NSS、および GnuTLS )で TLS 1.2 を完全にサポートします。PCI-DSS v3.1 などの最新の標準では、最新の TLS プロトコル（現在 TLS 1.2）が推奨されます。この追加により、TLS 1.2 サポートを必要とする可能性のあるセキュリティー標準の将来のリビジョンを備えた Red Hat Enterprise Linux 6 を使用できるようになります。

Red Hat Enterprise Linux 6 における暗号化の変更に関する詳細は、Red Hat カスタマーポータルの記事 https://access.redhat.com/blogs/766093/posts/2787271 を参照してください。(BZ#1339222)

OpenSCAP 1.2.13 は、Common Vulnerabilities and Exposure (CVE)オプションを使用した Authenticated Configuration Scanner カテゴリーの NIST (National Institute of Standards and Technology's) Security Content Automation Protocol (SCAP) 1.2 によって認定されています。OpenSCAP は、SCAP 標準の各コンポーネントを解析および評価できるライブラリーを提供します。これにより、新しい SCAP ツールを簡単に作成できます。また、OpenSCAP は、コンテンツをドキュメントにフォーマットしたり、このコンテンツに基づいてシステムをスキャンするために設計された多目的ツールを提供します。(BZ#1364207)

Very Secure File Transfer Protocol (FTP)デーモン(vsftpd)では、特定のバージョンの TLS プロトコルを 1.2 まで選択できます。TLS 1.2 は、Red Hat Enterprise Linux 7 の同じパッケージと同じレベルに vsftpd のセキュリティーを確保するために、デフォルトで有効になっています。TLS 1.2 に固有の新しいデフォルト暗号が追加されました： ECDHE-RSA-AES256-GCM-SHA384 および ECDHE-ECDSA-AES256-GCM-SHA384。これらの変更によって既存の設定が中断されることはありません。(BZ#1350724)

audit デーモンは、incremental_async と呼ばれる新しいフラッシュ技術をサポートするようになりました。この新しいモードでは、セキュリティーのために、audit デーモンのロギングパフォーマンスが大幅に向上します。(BZ#1369249)

scap-security-guide プロジェクトは、Red Hat Enterprise Linux の ComputeNode バリアントのスキャンに対応し、scap-security-guide パッケージも関連するチャネルで配布されるようになりました。(BZ#1311491)

この更新により、rsyslog7 マルチスレッド syslog デーモンは、GnuTLS コンポーネントで TLS 1.2 を明示的に有効にします。(BZ#1323199)