6.2. セキュリティー
RHEL の暗号化された DNS がテクノロジープレビューとして利用可能になる
暗号化された DNS を有効にすると、DNS-over-TLS (DoT) を使用する DNS 通信を保護できます。暗号化された DNS (eDNS) は、セキュアでないプロトコルにフォールバックすることなく、すべての DNS トラフィックをエンドツーエンドで暗号化し、ゼロトラストアーキテクチャー (ZTA) の原則に準拠します。
eDNS を使用して新規インストールを実行するには、カーネルコマンドラインを使用して DoT 対応 DNS サーバーを指定します。これにより、インストールプロセス中、起動時、およびインストールされたシステム上で暗号化された DNS がアクティブになります。カスタム CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate
セクションを使用してのみインストールできます。現在、カスタム CA バンドルはキックスタートインストールを通じてのみインストールできます。
既存のシステムで、eDNS のローカル DNS リゾルバー (unbound) を管理する新しい DNS プラグイン dnsconfd
を使用するように NetworkManager を設定します。カーネル引数を追加して、初期ブートプロセス用に eDNS を設定し、必要に応じてカスタム CA バンドルをインストールします。
さらに、Identity Management (IdM) のデプロイメントでは、統合 DNS サーバーが DoT をサポートしているため、暗号化された DNS も使用できます。
詳細は、暗号化された DNS を使用したシステム DNS トラフィックの保護 を参照してください。
Jira:RHELDOCS-20059[1]、Jira:RHEL-67913
gnutls
がテクノロジープレビューとして kTLS を使用するようになる
更新された gnutls
パッケージは、テクノロジープレビューとして、暗号化チャネルでのデータ転送を加速するためにカーネル TLS (kTLS) を使用できます。kTLS を有効にするには、modprobe
コマンドを使用して tls.ko
カーネルモジュールを追加し、次の内容を含むシステム全体の暗号化ポリシー用の新しい設定ファイル /etc/crypto-policies/local.d/gnutls-ktls.txt
を作成します。
[global] ktls = true
[global]
ktls = true
現在のバージョンは、TLS KeyUpdate
メッセージによるトラフィックキーの更新をサポートしていません。これは、AES-GCM 暗号スイートのセキュリティーに影響を与えることに注意してください。詳細は、RFC 7841 - TLS 1.3 ドキュメントを参照してください。
Jira:RHELPLAN-128129[1]
OpenSSL クライアントが、テクノロジープレビューとして QUIC プロトコルを使用できる
OpenSSL は、テクノロジープレビューとして OpenSSL バージョン 3.2.2 にリベースすることで、クライアント側で QUIC トランスポート層ネットワークプロトコルを使用できます。
Jira:RHELDOCS-18935[1]
io_uring
インターフェイスがテクノロジープレビューとして利用可能
io_uring
は、新しく効果的な非同期 I/O インターフェイスであり、現在テクノロジープレビューとして利用可能です。デフォルトでは、この機能は無効にされています。このインターフェイスを有効にするには、kernel.io_uring_disabled
sysctl 変数を次のいずれかの値に設定します。
0
-
すべてのプロセスは通常どおり
io_uring
インスタンスを作成できます。 1
-
io_uring
の作成は、特権のないプロセスに対しては無効化されています。呼び出しプロセスにCAP_SYS_ADMIN
機能による特権が与えられていない限り、io_uring_setup
は-EPERM
エラーで失敗します。既存のio_uring
インスタンスは引き続き使用できます。 2
-
io_uring
の作成は、すべてのプロセスで無効化されています。io_uring_setup
は常に-EPERM
で失敗します。既存のio_uring
インスタンスは引き続き使用できます。これはデフォルト設定です。
この機能を使用するには、匿名 i ノードで mmap
システムコールを有効にするための SELinux ポリシーの更新バージョンも必要です。
io_uring
コマンドパススルーを使用すると、アプリケーションは nvme
などの基盤となるハードウェアにコマンドを直接発行できます。
Jira:RHEL-11792[1]