第6章 セキュリティ

sudo ユーティリティは、sudoers エントリを /etc/nsswitch.conf ファイルで参照して、ファイル内で検索するか LDAP で検索します。 以前は、 sudoers エントリの 1 番目のデータベース内にマッチがあったとしても、 検索動作は他のデータベース (ファイルも含め) でも引き続き続行されました。 Red Hat Enterprise Linux 6.4 では、 /etc/nsswitch.conf ファイルにオプションが追加され、 sudoers エントリのマッチが適切な場合、 ユーザーはデータベースを指定できるようになりました。 これにより他のデータベースをクエリする必要がなくなり、 大規模な環境での sudoers エントリ検索のパフォーマンスが向上します。 この動作はデフォルトでは有効にはされていないため、 選択したデータベースの後に [SUCCESS=return] の文字列を追加して設定する必要があります。 この文字列が直後付いたデータベース内に一致がある場合は、 他のデータベースでのクエリは行なわれません。

pam_cracklib モジュールが更新され、 新しいパスワードの強度を確認するチェックが複数追加されました。

複数の tmpfs マウントを持つシステムでは、 これらのマウントによるシステムの全メモリの占拠を阻止するためマウントのサイズを制限する必要があります。 PAM が更新され tmpfs の多重インスタンス化を使用する場合に /etc/namespace.conf 設定ファイル内の mntopts=size=<size> オプションを使って tmpfs ファイルシステムマウントの最大サイズを指定できるようになりました。

一定期間使用されていないアカウントをロックする場合、 ロック機能のサポートを必要とする認証ポリシーがあります。 Red Hat Enterprise Linux 6.4 では pam_lastlog モジュールに追加機能を導入しました。 これにより、 設定可能な日数を超えた場合、 ユーザーによるアカウントのロックが行なえるようになります。

IBM System z の IBM eServer Cryptographic Accelerator (ICA) ハードウェアにアクセスするための機能とユーティリティ一式を含む libica ライブラリが修正されて Central Processor Assist for Cryptographic Function (CPACF) での Message Security Assist Extension 4 の命令をサポートする新しいアルゴリズムが使用できるようになりました。 DES および 3DES ブロック暗号の場合、 次のような動作モードがサポートされるようになります。

AES ブロック暗号の場合、 次の動作モードがサポートされるようになります。

こうした複雑な暗号アルゴリズムの促進により IBM System z マシンのパフォーマンスが大幅に向上されています。

多目的型無損失データ圧縮ライブラリとなる zlib ライブラリが更新され IBM System z での圧縮パフォーマンスが向上されました。

デフォルトの設定が適用できない場合、 iptables サービスや ip6tables サービスで代替となるファイアウォールの設定を割り当てられるようになります。 /etc/sysconfig/iptables にあるファイアウォールルールの適用に失敗した場合、 代替となるファイルが存在していればそのファイルが適用されるようになります。 代替ファイルの名前は /etc/sysconfig/iptables.fallback というファイル名にし、 ファイル形式は iptables-save を使用します (/etc/sysconfig/iptables と同様)。 代替ファイルの適用にも失敗する場合、 それ以上、 別の代替ファイルが適用されることはありません。 代替ファイルを作成する場合は標準のファイアウォール設定ツールを使用し、 「fallback」という名前を付けて保存するかコピーをします。 ip6tables サービスの場合も同様にします。 「iptables」 の部分は 「ip6tables」 に置き換えてください。