3.2. セキュリティー
pcsd
で --disable-polkit
オプションが提供されるようになる
この更新により、--disable-polkit
オプションを指定して pcsd
サービスを起動し、PolicyKit 認可フレームワークのロードをオフにできるようになりました。polkit
なしで pcsd
を実行すると、初期 RAM ディスクなど、限られた環境で PKCS #11 デバイスにアクセスできます。これにより、Clevis 復号化クライアントは、起動時に LUKS 暗号化ボリュームの自動アンロックに PKCS #11 デバイスを使用できます。
ssh
が SSH ログインエラーメッセージに関する追加の詳細へのリンクを提供するようになる
早期エラーが発生した場合、ssh
コマンドラインツールは、一般的なエラーメッセージとその解決手順に関する追加の詳細が記載されている Red Hat カスタマーポータルページへのリンクを提供します。これは、対話型モードを使用するときに SSH ログインの問題をトラブルシューティングするのに役立ちます。
Jira:RHEL-33809[1]
pkcs-tool
にオブジェクト URI が表示されるようになる
この更新により、pkcs11-tool -L
コマンドおよび pkcs11-tool -O
コマンドでは、出力に uri:
フィールドが含まれるようになりました。PKCS #11 デバイスを使用して LUKS で暗号化したドライブを自動的にアンロックするために pkcs11
Clevis ピンを設定する場合は、URI 情報を使用できます。
CBC 暗号が crypto-policies
でブロックできるようになる
この更新により、crypto-policies
は openssl -CBC CipherString
ディレクティブを使用します。その結果、crypto-policies
で有効でない場合は、CBC 暗号スイートが OpenSSL で無効になります。
Jira:RHEL-76524[1]
nettle
が 3.10.1 にリベース
nettle
ライブラリーパッケージがアップストリームバージョン 3.10.1 にリベースされました。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- 64 ビット PowerPC アーキテクチャー (SHA-256、AES 復号化、および AES-GCM) でのパフォーマンスが向上しました。
- 新しい決定論的乱数ビットジェネレーターである DRBG-CTR-AES256 が追加されました。
- 新しい OAEP パディングスキームを使用する RSA 暗号化/復号化である RSA-OAEP が追加されました。
- SHA-3 ファミリーの任意長ハッシュ関数である SHAKE-128 が追加されました。
- SHAKE-128 および SHAKE-256 のストリーミング API が追加されました。
- MD5 アセンブリーが削除されました。これは、わずかなパフォーマンスへの影響を伴う可能性があります。
Jira:RHEL-52740[1]
Rsyslog が 8.2412.0 にリベース
rsyslog
パッケージが、RHEL 9.6 のアップストリームバージョン 8.2412.0 にリベースされました。他の修正や機能拡張に加えて、ルールセットを imjournal
モジュールにバインドできるようになりました。この最適化により、ログメッセージを入力段階でフィルタリングして処理できるため、メインメッセージキューの負荷が軽減されます。これにより、リソースの使用率が最小限に抑えられ、大量のログの処理がスムーズになります。
OpenSCAP が 1.3.12 にリベース
OpenSCAP パッケージがアップストリームバージョン 1.3.12 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が提供されます。詳細は、OpenSCAP リリースノート を参照してください。
Clevis がバージョン 21 にリベースされ、PKCS #11 に対応する
clevis
パッケージがバージョン 21 にアップグレードされました。このバージョンには、多くの機能拡張とバグ修正が含まれており、特に次の点が挙げられます。
-
PKCS #11 デバイス (スマートカード) を使用して LUKS で暗号化されたボリュームのロックを解除するための
pkcs11
ピンを提供するclevis-pin-pkcs11
サブパッケージを追加しました。 -
clevis-udisks2
サブパッケージに 2 つのチェックを追加しました。 - "Address in use" エラーを防ぐ修正を追加しました。
新しい Keylime ポリシー管理ツール
新しい keylime-policy
ツールは、Keylime ランタイムポリシーと測定ブートポリシーのすべての管理タスクを統合し、ポリシー生成のパフォーマンスを向上させます。
SELinux は特定のタイプを /dev/hfi1_0
に割り当てる
この更新により、SELinux ポリシーの /dev/hfi1_0
デバイスに hfi1_device_t
タイプが割り当てられるようになりました。これにより、SELinux はデバイスへのアクセスを適切に制御できます。
Jira:RHEL-54996[1]
SELinux ポリシーに制限されている追加サービス
この更新により、次の systemd
サービスを制限する追加のルールが SELinux ポリシーに追加されます。
-
iio-sensor-proxy
-
power-profiles-daemon
-
switcheroo-control
-
samba-bgqd
その結果、これらのサービスは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンがないことを確認する" ルールに違反する unconfined_service_t
SELinux ラベルで実行されなくなり、SELinux enforcing モードで正常に実行されるようになりました。
Jira:RHEL-17346、Jira:RHEL-53124、Jira:RHEL-61117、Jira:RHEL-24268
SCAP Security Guide が 0.1.76 にリベース
詳細は、SCAP Security Guide release notes を参照してください。
Keylime には失効通知に HTTPS が必要
Keylime コンポーネントでは、HTTP ではなく、失効通知 Webhook により安全な HTTPS プロトコルを使用する必要があります。その結果、Keylime verifier には失効通知 Webhook サーバー CA 証明書が必要になります。この証明書は、trusted_server_ca
設定オプションに追加することも、システムのトラストストアに追加することもできます。