4.2. Security
opencryptoki
が 3.21.0 にリベース
opencryptoki
パッケージはバージョン 3.21.0 にリベースされ、多くの機能拡張とバグ修正が提供されています。最も注目すべき点は、opencryptoki
が次の機能をサポートするようになったということです。
- ハードウェアセキュリティーモジュール (HSM) マスターキーの同時変更
-
選択したキーを保護されたキーに変換するための
protected-key
オプション - DH、DSA、汎用シークレットキータイプなどの追加のキータイプ
- EP11 ホストライブラリーバージョン 4
- AES-XTS キーのタイプ
- IBM 固有の Kyber キーのタイプとメカニズム
- 追加の IBM 固有の Dilithium キーラウンド 2 および 3 のバリアント
さらに、pkcsslotd
スロットマネージャーは root として実行されなくなり、opencryptoki
はさらなる強化を提供します。この更新により、次の新しいコマンドのセットも使用できるようになりました。
p11sak set-key-attr
- キーを変更する場合
p11sak copy-key
- キーをコピーする場合
p11sak import-key
- キーをインポートする場合
p11sak export-key
- キーをエクスポートする場合
Bugzilla:2159697[1]
fapolicyd
がトラブルシューティング用のルール番号を提供するようになる
この機能拡張では、新しいカーネルおよび Audit コンポーネントにより、fapolicyd
サービスが拒否を引き起こすルールの番号を fanotify
API に送信できるようになります。その結果、fapolicyd
に関連する問題をより正確にトラブルシューティングできます。
ANSSI-BP-028 セキュリティープロファイルが、バージョン 2.0 に更新される
SCAP セキュリティーガイド内の以下の French National Agency for the Security of Information Systems (ANSSI) BP-028 プロファイルは、バージョン 2.0 に合わせて更新されました。
- ANSSI-BP-028 Minimal Level
- ANSSI-BP-028 Intermediary Level
- ANSSI-BP-028 Enhanced Level
- ANSSI-BP-028 High Level
インタラクティブユーザーの定義の改善
scap-security-guide
パッケージのルールが改善され、より一貫性のあるインタラクティブユーザー設定が提供されるようになりました。以前は、一部のルールで、インタラクティブユーザーと非インタラクティブユーザーを識別するために異なるアプローチが使用されていました。この更新により、インタラクティブユーザーの定義が統一されました。UID が 1000 以上のユーザーアカウントは、nobody
および nfsnobody
アカウントを除き、またログインシェルとして /sbin/nologin
を使用するアカウントを除き、インタラクティブユーザーとみなされます。
この変更は次のルールに影響します。
-
accounts_umask_interactive_users
-
accounts_user_dot_user_ownership
-
accounts_user_dot_group_ownership
-
accounts_user_dot_no_world_writable_programs
-
accounts_user_interactive_home_directory_defined
-
accounts_user_interactive_home_directory_exists
-
accounts_users_home_files_groupownership
-
accounts_users_home_files_ownership
-
accounts_users_home_files_permissions
-
file_groupownership_home_directories
-
file_ownership_home_directories
-
file_permissions_home_directories
-
file_permissions_home_dirs
-
no_forward_files
Bugzilla:2157877、Bugzilla:2178740
DISA STIG プロファイルが audit_rules_login_events_faillock
をサポートするようになりました。
この機能拡張により、STIG ID RHEL-08-030590 を参照する SCAP セキュリティーガイドの audit_rules_login_events_faillock
ルールが、RHEL 8 の DISA STIG プロファイルに追加されました。このルールは、/var/log/faillock
ディレクトリーに保存されているログインイベントログを変更しようとする試みを記録するように Audit デーモンが設定されているかどうかを確認します。
OpenSCAP が 1.3.8 にリベース
OpenSCAP パッケージがアップストリームバージョン 1.3.8 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。
-
一部の
systemd
ユニットを無視しないようにsystemd
プローブを修正しました -
shadow
OVAL プローブにオフライン機能を追加しました -
sysctl
OVAL プローブにオフライン機能を追加しました -
ネットワークファイルシステムのリストに
auristorfs
を追加しました -
autotailor
ユーティリティーによって生成されたファイルの調整に関する問題の回避策を作成しました。
SCAP セキュリティーガイドがバージョン 0.1.69 にリベース
SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.69 にリベースされました。このバージョンでは、さまざまな機能拡張とバグ修正が提供されています。特に注目すべきは、2022 年 10 月に National Cryptologic Center of Spain によって発行された CCN-STIC-610A22 ガイドの 3 つのレベルに準拠した RHEL 9 用の 3 つの新しい SCAP プロファイルです。
- CCN Red Hat Enterprise Linux 9 - Basic
- CCN Red Hat Enterprise Linux 9 - Intermediate
- CCN Red Hat Enterprise Linux 9 - Advanced
RHEL 8.8 以降から RHEL 9.2 以降への FIPS 対応のインプレースアップグレードがサポートされます。
RHBA-2023:3824 アドバイザリーのリリースにより、FIPS モードが有効な RHEL 8.8 以降のシステムから RHEL 9.2 以降のシステムへのインプレースアップグレードを実行できるようになりました。
crypto-policies
permitted_enctypes
が FIPS モードでのレプリケーションを破損しなくなる
この更新前は、RHEL 8 で実行されている IdM サーバーは、FIPS モードで RHEL 9 を実行している IdM レプリカに AES-256-HMAC-SHA-1 で暗号化されたサービスチケットを送信していました。その結果、デフォルトの permitted_enctypes
krb5
設定により、FIPS モードでの RHEL 8 IdM サーバーと RHEL 9 IdM レプリカ間のレプリケーションが破損していました。
この更新により、allowed_enctypes
krb5
設定オプションの値が、mac
および cipher
crypto-policy
の値に依存するようになりました。これにより、相互運用可能な暗号化タイプの優先順位付けがデフォルトで可能になります。
この更新の追加結果として、arcfour-hmac-md5
オプションが LEGACY:AD-SUPPORT
サブポリシーでのみ使用可能になり、aes256-cts-hmac-sha1-96
が FUTURE
ポリシーで使用できなくなりました。
Kerberos を使用する場合は、/etc/crypto-policies/back-ends/krb5.config
ファイル内の permitted_enctypes
の値の順序を確認してください。別の順序が必要な場合は、カスタム暗号化サブポリシーを適用します。
Audit が FANOTIFY
レコードフィールドをサポートするようになる
audit
パッケージの今回の更新で、FANOTIFY
Audit レコードフィールドがサポートされるようになりました。Audit サブシステムは、特に次のような追加情報を AUDIT_FANOTIFY
レコードに記録するようになりました。
-
fan_type
:FANOTIFY
イベントのタイプを指定する -
fan_info
: 追加のコンテキスト情報を指定する -
sub_trust
とobj_trust
: イベントに関与するサブジェクトとオブジェクトの信頼レベルを示す
これにより、特定のケースで Audit システムがアクセスを拒否した理由をよりよく理解できます。これは、fapolicyd
フレームワークなどのツールのポリシーを作成する場合に役立ちます。
QEMU ゲストエージェントが限定されたコマンドを実行できるようにする新しい SELinux ブール値
以前は、QEMU ゲストエージェントデーモンプログラムを通じて限定されたコンテキストで実行されるはずのコマンド (mount
など) が、アクセスベクターキャッシュ (AVC) 拒否で失敗していました。これらのコマンドを実行するには、guest-agent
が virt_qemu_ga_unconfined_t
ドメインで実行されている必要があります。
したがって、この更新では、SELinux ポリシーブール値 virt_qemu_ga_run_unconfined
が追加され、guest-agent
が以下のいずれかのディレクトリーにある実行可能ファイルに対して virt_qemu_ga_unconfined_t
に移行できるようになります。
-
/etc/qemu-ga/fsfreeze-hook.d/
-
/usr/libexec/qemu-ga/fsfreeze-hook.d/
-
/var/run/qemu-ga/fsfreeze-hook.d/
さらに、qemu-ga
デーモンの移行に必要なルールが SELinux ポリシーのブール値に追加されました。
その結果、virt_qemu_ga_run_unconfined
ブール値を有効にすることで、AVC 拒否なしで QEMU ゲストエージェントを通じて制限されたコマンドを実行できるようになりました。