Red Hat Summit6.2. セキュリティー
RHEL の暗号化された DNS がテクノロジープレビューとして利用可能になる
暗号化された DNS を有効にすると、DNS-over-TLS (DoT) を使用する DNS 通信を保護できます。暗号化された DNS (eDNS) は、セキュアでないプロトコルにフォールバックすることなく、すべての DNS トラフィックをエンドツーエンドで暗号化し、ゼロトラストアーキテクチャー (ZTA) の原則に準拠します。
eDNS を使用して新規インストールを実行するには、カーネルコマンドラインを使用して DoT 対応 DNS サーバーを指定します。これにより、インストールプロセス中、起動時、およびインストールされたシステム上で暗号化された DNS がアクティブになります。カスタム CA 証明書バンドルが必要な場合は、キックスタートファイルの %certificate セクションを使用してのみインストールできます。現在、カスタム CA バンドルはキックスタートインストールを通じてのみインストールできます。
既存のシステムで、eDNS のローカル DNS リゾルバー (unbound) を管理する新しい DNS プラグイン dnsconfd を使用するように NetworkManager を設定します。カーネル引数を追加して、初期ブートプロセス用に eDNS を設定し、必要に応じてカスタム CA バンドルをインストールします。
さらに、Identity Management (IdM) のデプロイメントでは、統合 DNS サーバーが DoT をサポートしているため、暗号化された DNS も使用できます。
詳細は、暗号化された DNS を使用したシステム DNS トラフィックの保護 を参照してください。
Jira:RHELDOCS-20059[1]、Jira:RHEL-67913
gnutls がテクノロジープレビューとして kTLS を使用するようになる
更新された gnutls パッケージは、テクノロジープレビューとして、暗号化チャネルでのデータ転送を加速するためにカーネル TLS (kTLS) を使用できます。kTLS を有効にするには、modprobe コマンドを使用して tls.ko カーネルモジュールを追加し、次の内容を含むシステム全体の暗号化ポリシー用の新しい設定ファイル /etc/crypto-policies/local.d/gnutls-ktls.txt を作成します。
[global] ktls = true
[global]
ktls = true
現在のバージョンは、TLS KeyUpdate メッセージによるトラフィックキーの更新をサポートしていません。これは、AES-GCM 暗号スイートのセキュリティーに影響を与えることに注意してください。詳細は、RFC 7841 - TLS 1.3 ドキュメントを参照してください。
Jira:RHELPLAN-128129[1]
OpenSSL クライアントが、テクノロジープレビューとして QUIC プロトコルを使用できる
OpenSSL は、テクノロジープレビューとして OpenSSL バージョン 3.2.2 にリベースすることで、クライアント側で QUIC トランスポート層ネットワークプロトコルを使用できます。
Jira:RHELDOCS-18935[1]
io_uring インターフェイスがテクノロジープレビューとして利用可能
io_uring は、新しく効果的な非同期 I/O インターフェイスであり、現在テクノロジープレビューとして利用可能です。デフォルトでは、この機能は無効にされています。このインターフェイスを有効にするには、kernel.io_uring_disabled sysctl 変数を次のいずれかの値に設定します。
0-
すべてのプロセスは通常どおり
io_uringインスタンスを作成できます。 1-
io_uringの作成は、特権のないプロセスに対しては無効化されています。呼び出しプロセスにCAP_SYS_ADMIN機能による特権が与えられていない限り、io_uring_setupは-EPERMエラーで失敗します。既存のio_uringインスタンスは引き続き使用できます。 2-
io_uringの作成は、すべてのプロセスで無効化されています。io_uring_setupは常に-EPERMで失敗します。既存のio_uringインスタンスは引き続き使用できます。これはデフォルト設定です。
この機能を使用するには、匿名 i ノードで mmap システムコールを有効にするための SELinux ポリシーの更新バージョンも必要です。
io_uring コマンドパススルーを使用すると、アプリケーションは nvme などの基盤となるハードウェアにコマンドを直接発行できます。
Jira:RHEL-11792[1]
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}