第13章 セキュリティー
基本的なシステムコンポーネントに TLS 1.2 サポートを追加
これらのアップデートでは、
yum
, 、stunnel
, 、vsftpd
, 、Git
, 、または Postfix
1.2バージョンのTLSプロトコルをサポートするように変更されました。これは、古いバージョンのプロトコルに存在するセキュリティの悪用に対して、ツールが脆弱でないことを保証するためです。 (BZ#1253743)
NSSはデフォルトでTLSバージョン1.2プロトコルを有効にします
現在のベストプラクティスを満たすために、NSSではTransport Layer Security(TLS)1.2プロトコルがデフォルトで有効になっています。つまり、NSSライブラリのデフォルトを使用するアプリケーションで明示的に有効にする必要はなくなりました。
TLS接続の両側でTLS 1.2が有効になっている場合、このプロトコルバージョンは自動的に使用されます。 (BZ#1272504)
pycurl
が TLSv1.1 または 1.2 を必須とするオプションを提供
このアップデートにより、
pycurl
TLSプロトコルの1.1または1.2バージョンの使用を要求するオプションをサポートするように拡張されました。これにより、通信のセキュリティが向上します。 (BZ#1260406)
PHP cURL
モジュールが TLS 1.1 および TLS 1.2 をサポート
openswan
推奨されていない libreswan
ザ openswan パッケージは廃止予定です。 libreswan パッケージは、
openswan
。 libreswan
Red Hat Enterprise Linux 6のためのより安定した安全なVPNソリューションです。 libreswan
Red Hat Enterprise Linux 7のVPNエンドポイントソリューションとしてすでに利用可能です。 openswan
に置き換えられます libreswan
システムのアップグレード中に見る https://access.redhat.com/articles/2089191 から移行する方法については、 openswan
に libreswan
。
なお、 openswan パッケージはリポジトリで利用可能なままです。インストールする
openswan
の代わりに libreswan
, 、 使用 -x
のオプション yum
排除する libreswan: yum install openswan -x libreswan
。 (BZ#1266222)
SELinux サポートが GlusterFS に追加
このアップデートでは、Red Hat Gluster Storageの一部として、glusterd(GlusterFS Management Service)およびglusterfsd(NFS server)プロセスに対してSELinuxの必須アクセス制御が提供されています。 (BZ#1241112)
shadow-utils がバージョン 4.1.5.1 にリベース
ザ shadow-utils パッケージは、ユーザーおよびグループアカウントを管理するためのユーティリティを提供し、バージョン4.1.5.1にリベースされています。これは、 shadow-utils Red Hat Enterprise Linux 7では、改善された監査機能が追加されました。この機能により、ユーザアカウントデータベースに対するシステム管理者の操作をより正確に記録することができます。このパッケージに追加された主な新機能は、chroot環境での動作のサポートです。
--root
それぞれのツールのオプションです。 (BZ#1257643)
audit がバージョン 2.4.5 にリベース
audit パッケージは、Linux カーネル内で
audit
サブシステムが生成した監査記録を保存および検索するためのユーザースペースユーティリティーを提供するもので、バージョン 2.4.5 にリベースされました。イベントを理解しやすくするためにより多くのシステムコール名と引数を提供する、イベント解析機能を提供するように強化されました。
このアップデートでは、
auditd
イベントをディスクに記録します。いずれかを使用している場合 data
または sync
のモード flush
設定 auditd.conf
, 、パフォーマンスの低下が見られます auditd's
イベントを記録する能力。以前は完全な同期書き込みを使用する必要があることをカーネルに正しく通知していなかったためです。これが修正され、操作の信頼性が向上しましたが、これはパフォーマンスを犠牲にしています。パフォーマンスの低下が許容できない場合、 flush
設定をに変更する必要があります incremental
そしてその freq
設定すると頻度が制御されます auditd
すべてのレコードをディスクに同期させるようにカーネルに指示します。 A freq
の設定 100
新しいレコードが定期的にディスクにフラッシュされるようにしながら、優れたパフォーマンスを提供する必要があります。 (BZ#1257650)
LWP がホスト名と証明書認証をサポート
デフォルトで無効になっている証明書とホスト名の検証は、Perl用のWorld Wide Webライブラリ(LWP、libwww-perlとも呼ばれます)で実装されています。これにより、
LWP::UserAgent
HTTPSサーバーのIDを確認するPerlモジュール。確認を有効にするには、 IO::Socket::SSL
Perlモジュールがインストールされ、 PERL_LWP_SSL_VERIFY_HOSTNAME
環境変数をに設定 1
アプリケーションが変更されて ssl_opts
オプションを正しく設定してください。見る LWP::UserAgent
PODを参照してください。 (BZ#745800)
Perl Net:SSLeay
が elliptic 曲線パラメーターに対応
楕円曲線パラメータのサポートがPerlに追加されました
Net:SSLeay
モジュールは、OpenSSLライブラリへのバインディングを含んでいます。すなわち、 EC_KEY_new_by_curve_name()
, 、EC_KEY_free*()
, 、SSL_CTX_set_tmp_ecdh()
, 、および OBJ_txt2nid()
サブルーチンは上流から移植されています。これは、ECDRE(Elliptic Curve Diffie-Hellman Exchange)キー交換のサポートに必要です。 IO::Socket::SSL
Perlモジュール。 (BZ#1044401)
Perl IO::Socket::SSL
が ECDHE に対応
楕円曲線のサポートDiffie-Hellman Exchange(ECDHE)が
IO::Socket::SSL
Perlモジュール。新しい SSL_ecdh_curve
オプションは、オブジェクト識別子(OID)または名前識別子(NID)によって適切な曲線を指定するために使用できます。その結果、TLSクライアントを実装する際にデフォルトの楕円曲線パラメータをオーバーライドすることが可能になりました。 IO::Socket:SSL
。 (BZ#1078084)
openscap がバージョン 1.2.8 にリベース
SCAP標準の統合のためのパスを提供する一連のライブラリであるOpenSCAPは、最新のアップストリームバージョンである1.2.8にリベースされています。特に、OVAL-5.11およびOVAL-5.11.1言語バージョンのサポート、実行中のスキャンの詳細を理解するのに役立つ冗長モードの導入、2つの新しいコマンド、
oscap-ssh
そして oscap-vm
, SSH上でのスキャンと、非アクティブな仮想システムのスキャン、bz2アーカイブのネイティブサポート、HTMLレポートとガイドのための最新のインターフェース(BZ#1259037)
scap-workbench がバージョン 1.1.1 にリベース
ザ scap-workbench パッケージは新しいSCAPセキュリティガイドの統合ダイアログを提供するバージョン1.1.1にリベースされました。管理者は、コンテンツファイルを選択する代わりに、スキャンする必要のある製品を選択するのに役立ちます。新しいバージョンでは、テーラリングウィンドウでのルール検索の改善や、GUIを使用したSCAPコンテンツのリモートリソースの取得など、パフォーマンスとユーザーエクスペリエンスの数々の改善も行われています。 (BZ#1269551)
scap-security-guide がバージョン 0.1.28 にリベース
ザ scap-security-guide パッケージは、最新のアップストリームバージョン(0.1.28)にリビルドされています。このバージョンでは、いくつかの重要な修正や拡張が行われています。 Red Hat Enterprise Linux 6および7の複数の改良されたプロファイルまたは完全に新しいプロファイル、多くのルールに対する自動チェックおよび修復スクリプト、リリース間で一貫した人間が読めるOVAL ID、または各プロファイルに付随するHTML形式のガイドが追加されています。 (BZ#1267509)
SSLv3とRC4のサポートがで無効 luci
安全でないSSLv3プロトコルとRC4アルゴリズムの使用は、
luci
, 、Webベースの高可用性管理アプリケーションです。デフォルトでは、TLSv1.0以降のプロトコルバージョンのみが許可され、自己管理証明書に使用されるダイジェストアルゴリズムはSHA256に更新されています。 SSLv3を再度有効にすることができます( allow_insecure
関連するセクションのオプション /etc/sysconfig/luci
設定ファイル)がありますが、これは予期しない可能性があり予測できない場合のみであり、非常に注意して使用する必要があります。
このアップデートでは、SSL / TLSの最も重要なプロパティを調整する機能も追加されています(前述の
allow_insecure
):証明書ペアと暗号リストへのパス。これらの設定は、グローバルに、または両方のセキュリティで保護されたチャネル(HTTPS Web UIアクセスおよび ricci
インスタンス)。 (BZ#1156167)