第6章 セキュリティ
sudoer エントリ検索時のマッチの正式な処理方法
sudo ユーティリティは、sudoers エントリを
/etc/nsswitch.conf
ファイルで参照して、ファイル内で検索するか LDAP で検索します。 以前は、 sudoers エントリの 1 番目のデータベース内にマッチがあったとしても、 検索動作は他のデータベース (ファイルも含め) でも引き続き続行されました。 Red Hat Enterprise Linux 6.4 では、 /etc/nsswitch.conf
ファイルにオプションが追加され、 sudoers エントリのマッチが適切な場合、 ユーザーはデータベースを指定できるようになりました。 これにより他のデータベースをクエリする必要がなくなり、 大規模な環境での sudoers エントリ検索のパフォーマンスが向上します。 この動作はデフォルトでは有効にはされていないため、 選択したデータベースの後に [SUCCESS=return]
の文字列を追加して設定する必要があります。 この文字列が直後付いたデータベース内に一致がある場合は、 他のデータベースでのクエリは行なわれません。
pam_cracklib
の追加のパスワードチェック
pam_cracklib
モジュールが更新され、 新しいパスワードの強度を確認するチェックが複数追加されました。
- 特定の認証ポリシーでは、 「abcd」や「98765」といった一定の長さ以上の連続的な並び順を含むパスワードは受け付けません。 この更新により
maxsequence
と言う新しいオプションを使ってこのような連続的な並びの最大長を制限できるようになります。 pam_cracklib
モジュールにより、 新しいパスワードが/etc/passwd
ファイル内のエントリの GECOS フィールドからの単語を含んでいるかどうかをチェックできるようになります。 GECOS フィールドはユーザーの指名や電話番号などユーザーに関する詳細情報の格納に使用されるため、 パスワード解読のため攻撃者から利用される可能性があります。pam_cracklib
では、maxrepeatclass
オプションを使用するとパスワード内に同じ種類 (小文字、 大文字、 数、 特殊文字など) で連続して使用できる文字数の最大を指定できるようになりました。pam_cracklib
モジュールがenforce_for_root
オプションをサポートするようになります。 このオプションでは複雑な制限を root アカウントの新規パスワードに対して強制します。
tmpfs の多重インスタンス化 (Polyinstantiation) のサイズオプション
複数の tmpfs マウントを持つシステムでは、 これらのマウントによるシステムの全メモリの占拠を阻止するためマウントのサイズを制限する必要があります。 PAM が更新され tmpfs の多重インスタンス化を使用する場合に
/etc/namespace.conf
設定ファイル内の mntopts=size=<size>
オプションを使って tmpfs ファイルシステムマウントの最大サイズを指定できるようになりました。
動きのないアカウントをロックする
一定期間使用されていないアカウントをロックする場合、 ロック機能のサポートを必要とする認証ポリシーがあります。 Red Hat Enterprise Linux 6.4 では
pam_lastlog
モジュールに追加機能を導入しました。 これにより、 設定可能な日数を超えた場合、 ユーザーによるアカウントのロックが行なえるようになります。
libica
動作の新しいモード
IBM System z の IBM eServer Cryptographic Accelerator (ICA) ハードウェアにアクセスするための機能とユーティリティ一式を含む
libica
ライブラリが修正されて Central Processor Assist for Cryptographic Function (CPACF) での Message Security Assist Extension 4 の命令をサポートする新しいアルゴリズムが使用できるようになりました。 DES および 3DES ブロック暗号の場合、 次のような動作モードがサポートされるようになります。
- 暗号文窃盗による暗号ブロックチェーン (CBC-CS)
- 暗号ベースのメッセージ認証コード (CMAC)
AES ブロック暗号の場合、 次の動作モードがサポートされるようになります。
- 暗号文窃盗による暗号ブロックチェーン (CBC-CS)
- 暗号ブロックチェーンメッセージ認証コードを用いたカウンター (CCM)
- ガロア/カウンターモード (GCM)
こうした複雑な暗号アルゴリズムの促進により IBM System z マシンのパフォーマンスが大幅に向上されています。
System z 向け zlib
圧縮ライブラリの最適化およびサポート
多目的型無損失データ圧縮ライブラリとなる zlib ライブラリが更新され IBM System z での圧縮パフォーマンスが向上されました。
ファイアウォールの代替設定
デフォルトの設定が適用できない場合、
iptables
サービスや ip6tables
サービスで代替となるファイアウォールの設定を割り当てられるようになります。 /etc/sysconfig/iptables
にあるファイアウォールルールの適用に失敗した場合、 代替となるファイルが存在していればそのファイルが適用されるようになります。 代替ファイルの名前は /etc/sysconfig/iptables.fallback
というファイル名にし、 ファイル形式は iptables-save
を使用します (/etc/sysconfig/iptables
と同様)。 代替ファイルの適用にも失敗する場合、 それ以上、 別の代替ファイルが適用されることはありません。 代替ファイルを作成する場合は標準のファイアウォール設定ツールを使用し、 「fallback」という名前を付けて保存するかコピーをします。 ip6tables
サービスの場合も同様にします。 「iptables」 の部分は 「ip6tables」 に置き換えてください。