4.6. セキュリティー
FIPS モードに、FIPS 140-3 を対象とするよりセキュアな設定が追加されました。
カーネルの FIPS モード設定が、連邦情報処理標準 (FIPS) 140-3 に準拠するように調整されました。この変更により、多くの暗号化アルゴリズム、関数、および暗号スイートに対して、より厳しい設定が導入されました。以下に例を示します。
- Triple Data Encryption Standard (3DES)、Elliptic-curve Diffie-Hellman (ECDH)、および Finite-Field Diffie-Hellman (FFDH) アルゴリズムが無効になりました。この変更は、カーネルキーリングの Bluetooth、DH 関連の操作、および Intel QuickAssist Technology (QAT) 暗号化アクセラレーターに影響します。
- ハッシュベースのメッセージ認証コード (HMAC) キーを 112 ビットより短くすることができなくなりました。Rivest-Shamir-Adleman (RSA) アルゴリズムの最小キー長は 2048 ビットに設定されます。
-
xts_check_key()関数を使用したドライバーが更新され、代わりにxts_verify_key()関数が使用されるようになりました。 - 次の Deterministic Random Bit Generator (DRBG) ハッシュ関数が無効になりました。SHA-224、SHA-384、SHA512-224、SHA512-256、SHA3-224、および SHA3-384。
FIPS モードの RHEL 8.6 (およびそれ以降) カーネルは、FIPS 140-3 に準拠するように設計されていますが、まだ米国国立標準技術研究所 (NIST) 暗号モジュール検証プログラム (CMVP) によって認定されていません。最新の認定カーネルモジュールは、RHSA-2021:4356 アドバイザリー更新後の更新された RHEL 8.5 カーネルです。この認定は FIPS 140-2 標準に適用されます。暗号化モジュールが FIPS 140-2 または 140-3 のどちらに準拠するかを選択することはできません。詳細は、ナレッジベースの記事 Compliance Activities and Government Standards: FIPS 140-2 and FIPS 140-3 を参照してください。
Bugzilla:2107595、Bugzilla:2158893、Bugzilla:2175234、Bugzilla:2166715、Bugzilla:2129392、Bugzilla:2152133
Libreswan が 4.9 にリベースされました。
libreswan パッケージがバージョン 4.9 にアップグレードされました。以前のバージョンに対する主な変更点は、以下のとおりです。
-
{left,right}pubkey=のサポートをaddconnおよびwhackユーティリティーに追加 - 鍵導出関数 (KDF) のセルフテストを追加
-
seccompフィルターの許可されるシステムコールのリストを更新 ホストの認証キーを表示 (
showhostkey):- Elliptic Curve Digital Signature Algorithm (ECDSA) 公開鍵のサポートを追加
-
Privacy-Enhanced Mail (PEM) でエンコードされた公開鍵を出力する
--pemオプションを追加
Internet Key Exchange プロトコルバージョン 2 (IKEv2):
- 拡張認証プロトコル – トランスポート層セキュリティー (EAP-TLS) のサポート
- EAP のみの認証のサポート
- ラベル付き IPsec の改善
plutoInternet Key Exchange (IKE) デーモン:-
maxbytesカウンターとmaxpacketカウンターのサポート -
replay-windowのデフォルト値を 32 から 128 に変更 -
esn=のデフォルト値をeitherに、推奨値をyesに変更 -
replay-window=が0に設定されている場合は、esnを無効化 -
crypto-lowなどの廃止されたデバッグオプションを削除
-
Bugzilla:2128672
SELinux が udftools を制限するようになりました。
selinux-policy パッケージの今回の更新により、SELinux は udftools サービスを制限します。
Bugzilla:1972230
systemd-socket-proxyd の新しい SELinux ポリシー
systemd-socket-proxyd サービスには特定のリソースの使用が必要なため、必要なルールを含む新しいポリシーが selinux-policy パッケージに追加されました。その結果、このサービスは SELinux ドメインで実行されるようになりました。
OpenSCAP が 1.3.7 にリベースされました。
OpenSCAP パッケージがアップストリームバージョン 1.3.7 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。
- OVAL フィルター処理時のエラーを修正しました (rhbz#2126882)。
-
XPath が一致しない場合、OpenSCAP は無効な空の
xmlfilecontent項目を出力しなくなりました (rhbz#2139060)。 -
Failed to check available memoryエラーを防止しました (rhbz#2111040)。
Rsyslog ログファイルの scap-security-guide ルールは、RainerScript と互換性があります。
Rsyslog ログファイルの所有権、グループ所有権、およびアクセス許可を確認および修正するための scap-security-guide のルールが、RainerScript 構文を使用して定義されたログファイルとも互換性を持つようになりました。最新のシステムはすでに Rsyslog 設定ファイルで RainerScript 構文を使用していますが、それぞれのルールはこの構文を認識できませんでした。その結果、scap-security-guide ルールは、使用可能な両方の構文で、Rsyslog ログファイルの所有権、グループ所有権、およびアクセス許可をチェックして修正できるようになりました。
STIG セキュリティープロファイルがバージョン V1R9 に更新されました。
SCAP セキュリティーガイドの DISA STIG for Red Hat Enterprise Linux 8 プロファイルが更新され、最新バージョンの V1R9 に合わせて更新されました。このリリースには、V1R8 で公開された変更も含まれています。
このプロファイルの以前のバージョンは有効でなくなったため、現行バージョンのみを使用してください。
以下の STIG ID が更新されました。
V1R9
-
RHEL-08-010359 - ルール
aide_build_databaseを選択 -
RHEL-08-010510 - ルール
sshd_disable_compressionを削除 - RHEL-08-020040 - tmux キーバインディングを設定する新しいルール
-
RHEL-08-020041 -
exec tmuxの代わりにtmuxの起動を設定する新しいルール
-
RHEL-08-010359 - ルール
V1R8
-
複数の STIG ID -
sshdおよびsysctlルールにより、重複または競合する設定を特定して削除できます。 -
RHEL-08-010200 - SSHD ClientAliveCountMax の値が
1に設定されています。 -
RHEL-08-020352 - チェックと修復が
.bash_historyを無視するようになりました。 -
RHEL-08-040137 -
/etc/fapolicyd/fapolicyd.rulesと/etc/fapolicyd/complied.rulesの両方を調べるようにチェックが更新されました。
-
複数の STIG ID -
自動修復によりシステムが機能しなくなる可能性があります。まずテスト環境で修復を実行してください。
RHEL 8 STIG プロファイルのベンチマークとの整合性が向上しました。
RHEL 8 STIG 要件を満たす 4 つの既存のルールは、データストリームには組み込まれていましたが、以前は STIG プロファイル (stig および stig_gui) には含まれていませんでした。今回の更新により、以下のルールがプロファイルに含まれるようになりました。
-
accounts_passwords_pam_faillock_dir -
accounts_passwords_pam_faillock_silent -
account_password_selinux_faillock_dir -
fapolicy_default_deny
その結果、RHEL 8 STIG プロファイルの対象範囲が向上しました。
SCAP セキュリティーガイドが 0.1.66 にリベースされました。
SCAP セキュリティーガイド (SSG) パッケージがアップストリームバージョン 0.1.66 にリベースされました。このバージョンは、さまざまな拡張機能とバグ修正を提供します。特に、次のようなものがあります。
- RHEL 8 STIG プロファイルを更新
-
ルール
account_passwords_pam_faillock_auditを廃止し、代わりにaccounts_passwords_pam_faillock_auditを使用
OpenSSL ドライバーが Rsyslog で証明書チェーンを使用できるようになりました。
NetstreamDriverCaExtraFiles ディレクティブを使用すると、複数の追加の認証局 (CA) ファイルを設定できます。今回の更新により、複数の CA ファイルを指定できるようになり、SSL 証明書チェーンに必要な OpenSSL ライブラリーでそれらを検証できるようになりました。その結果、OpenSSL ドライバーを使用して Rsyslog で証明書チェーンを使用できるようになります。
opencryptoki が 3.19.0 にリベースされました。
opencryptoki パッケージがバージョン 3.19.0 にリベースされ、多くの機能強化とバグ修正が提供されています。最も注目すべき点は、opencryptoki が次の機能をサポートするようになったということです。
- IBM 固有の Dilithium キー
- 二重機能暗号機能
-
PKCS #11 暗号化トークンインターフェイスの基本仕様 v3.0 で説明されているように、新しい
C_SessionCancel関数を使用して、アクティブなセッションベースの操作をキャンセルする -
CKM_IBM_ECDSA_OTHERメカニズムによる Schnorr 署名 -
CKM_IBM_BTC_DERIVEメカニズムによるビットコイン鍵の導出 - IBM z16 システムの EP11 トークン
Bugzilla:2110315
アイドルセッション終了の新しい SCAP ルール
新しい SCAP ルール logind_session_timeout が拡張レベルおよび高レベルの ANSSI-BP-028 プロファイルの scap-security-guide パッケージに追加されました。このルールは、systemd サービスマネージャーの新機能を使用し、一定時間が経過すると、アイドル状態のユーザーセッションを終了します。このルールは、複数のセキュリティーポリシーで必要とされる堅牢なアイドルセッション終了メカニズムの自動設定を提供します。その結果、OpenSCAP はアイドル状態のユーザーセッションの終了に関連するセキュリティー要件を自動的にチェックし、必要に応じて修正できます。
fapolicyd は RPM データベースのフィルタリングを提供するようになりました。
新しい設定ファイル /etc/fapolicyd/rpm-filter.conf を使用すると、fapolicyd ソフトウェアフレームワークが信頼データベースに保存する RPM データベースファイルのリストをカスタマイズできます。これにより、RPM によってインストールされた特定のアプリケーションをブロックしたり、デフォルトの設定フィルターによって拒否されたアプリケーションを許可したりできます。
