3.2. セキュリティー


pcsd--disable-polkit オプションが提供されるようになる

この更新により、--disable-polkit オプションを指定して pcsd サービスを起動し、PolicyKit 認可フレームワークのロードをオフにできるようになりました。polkit なしで pcsd を実行すると、初期 RAM ディスクなど、限られた環境で PKCS #11 デバイスにアクセスできます。これにより、Clevis 復号化クライアントは、起動時に LUKS 暗号化ボリュームの自動アンロックに PKCS #11 デバイスを使用できます。

Jira:RHEL-34856

ssh が SSH ログインエラーメッセージに関する追加の詳細へのリンクを提供するようになる

早期エラーが発生した場合、ssh コマンドラインツールは、一般的なエラーメッセージとその解決手順に関する追加の詳細が記載されている Red Hat カスタマーポータルページへのリンクを提供します。これは、対話型モードを使用するときに SSH ログインの問題をトラブルシューティングするのに役立ちます。

Jira:RHEL-33809[1]

pkcs-tool にオブジェクト URI が表示されるようになる

この更新により、pkcs11-tool -L コマンドおよび pkcs11-tool -O コマンドでは、出力に uri: フィールドが含まれるようになりました。PKCS #11 デバイスを使用して LUKS で暗号化したドライブを自動的にアンロックするために pkcs11 Clevis ピンを設定する場合は、URI 情報を使用できます。

Jira:RHEL-53115

CBC 暗号が crypto-policies でブロックできるようになる

この更新により、crypto-policiesopenssl -CBC CipherString ディレクティブを使用します。その結果、crypto-policies で有効でない場合は、CBC 暗号スイートが OpenSSL で無効になります。

Jira:RHEL-76524[1]

nettle が 3.10.1 にリベース

nettle ライブラリーパッケージがアップストリームバージョン 3.10.1 にリベースされました。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。

  • 64 ビット PowerPC アーキテクチャー (SHA-256、AES 復号化、および AES-GCM) でのパフォーマンスが向上しました。
  • 新しい決定論的乱数ビットジェネレーターである DRBG-CTR-AES256 が追加されました。
  • 新しい OAEP パディングスキームを使用する RSA 暗号化/復号化である RSA-OAEP が追加されました。
  • SHA-3 ファミリーの任意長ハッシュ関数である SHAKE-128 が追加されました。
  • SHAKE-128 および SHAKE-256 のストリーミング API が追加されました。
  • MD5 アセンブリーが削除されました。これは、わずかなパフォーマンスへの影響を伴う可能性があります。

Jira:RHEL-52740[1]

Rsyslog が 8.2412.0 にリベース

rsyslog パッケージが、RHEL 9.6 のアップストリームバージョン 8.2412.0 にリベースされました。他の修正や機能拡張に加えて、ルールセットを imjournal モジュールにバインドできるようになりました。この最適化により、ログメッセージを入力段階でフィルタリングして処理できるため、メインメッセージキューの負荷が軽減されます。これにより、リソースの使用率が最小限に抑えられ、大量のログの処理がスムーズになります。

Jira:RHEL-65177

OpenSCAP が 1.3.12 にリベース

OpenSCAP パッケージがアップストリームバージョン 1.3.12 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が提供されます。詳細は、OpenSCAP リリースノート を参照してください。

Jira:RHEL-88413

Clevis がバージョン 21 にリベースされ、PKCS #11 に対応する

clevis パッケージがバージョン 21 にアップグレードされました。このバージョンには、多くの機能拡張とバグ修正が含まれており、特に次の点が挙げられます。

  • PKCS #11 デバイス (スマートカード) を使用して LUKS で暗号化されたボリュームのロックを解除するための pkcs11 ピンを提供する clevis-pin-pkcs11 サブパッケージを追加しました。
  • clevis-udisks2 サブパッケージに 2 つのチェックを追加しました。
  • "Address in use" エラーを防ぐ修正を追加しました。

Jira:RHEL-60257

新しい Keylime ポリシー管理ツール

新しい keylime-policy ツールは、Keylime ランタイムポリシーと測定ブートポリシーのすべての管理タスクを統合し、ポリシー生成のパフォーマンスを向上させます。

Jira:RHEL-75797

SELinux は特定のタイプを /dev/hfi1_0 に割り当てる

この更新により、SELinux ポリシーの /dev/hfi1_0 デバイスに hfi1_device_t タイプが割り当てられるようになりました。これにより、SELinux はデバイスへのアクセスを適切に制御できます。

Jira:RHEL-54996[1]

SELinux ポリシーに制限されている追加サービス

この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。

  • iio-sensor-proxy
  • power-profiles-daemon
  • switcheroo-control
  • samba-bgqd

その結果、これらのサービスは、CIS Server Level 2 ベンチマークの "SELinux によって制限されていないデーモンがないことを確認する" ルールに違反する unconfined_service_t SELinux ラベルで実行されなくなり、SELinux enforcing モードで正常に実行されるようになりました。

Jira:RHEL-17346、Jira:RHEL-53124、Jira:RHEL-61117Jira:RHEL-24268

SCAP Security Guide が 0.1.76 にリベース

詳細は、SCAP Security Guide release notes を参照してください。

Jira:RHEL-74240

Keylime には失効通知に HTTPS が必要

Keylime コンポーネントでは、HTTP ではなく、失効通知 Webhook により安全な HTTPS プロトコルを使用する必要があります。その結果、Keylime verifier には失効通知 Webhook サーバー CA 証明書が必要になります。この証明書は、trusted_server_ca 設定オプションに追加することも、システムのトラストストアに追加することもできます。

Jira:RHEL-78313

トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat