第11章 セキュリティー

GnuTLS コンポーネントに TLS 1.2 サポートが追加されたことで、Red Hat Enterprise Linux 6 は OpenSSL、NSS、および GnuTLS の同梱セキュリティーライブラリー内の TLS 1.2 を完全サポートします。PCI-DSS v3.1 を含む複数の最新標準で、最新の TLS プロトコルである TLS 1.2 を推奨しています。これが追加されたことで、TLS 1.2 のサポートを必須とする可能性のある将来のセキュリティー標準改訂で Red Hat Enterprise Linux 6 が使用可能になります。

Red Hat Enterprise Linux 6 における暗号化変更の詳細については、以下の Red Hat カスタマーポータルの記事を参照してください。https://access.redhat.com/blogs/766093/posts/2787271 (BZ#1339222)

OpenSCAP 1.2.13 は、米国標準技術局 (NIST) の Security Content Automation Protocol (SCAP) 1.2 により、認証設定カテゴリーの Common Vulnerabilities and Exposure (CVE) オプションで認証されています。OpenSCAP は、SCAP 標準の各コンポーネントを分析して評価することが可能なライブラリーを提供します。これにより、新たな SCAP ツールの作成が容易になります。また、OpenSCAP は、コンテンツをドキュメントに書式設定したり、このコンテンツに基づいてシステムをスキャンするように設計されている多目的ツールを提供します。(BZ#1364207)

Very Secure File Transfer Protocol (FTP) デーモン (vsftpd) のユーザーは、最大 1.2 までの TLS プロトコルのバージョンを選択できるようになりました。TLS 1.2 はデフォルトで有効にされ、vsftpd のセキュリティーレベルは Red Hat Enterprise Linux 7 のパッケージのものと同等レベルに引き上げられています。TLS 1.2 に固有の新たなデフォルトの暗号である ECDHE-RSA-AES256-GCM-SHA384 と ECDHE-ECDSA-AES256-GCM-SHA384 が追加されました。これらの変更は、既存設定に影響しません。(BZ#1350724)

audit デーモンが incremental_async と呼ばれる新たなフラッシュ技術をサポートするようになりました。この新規モードは、セキュリティーのためにフラッシュの間隔を短く保ちながら audit デーモンのロギングパフォーマンスを大幅に改善します。(BZ#1369249)

scap-security-guide プロジェクトが Red Hat Enterprise Linux の ComputeNode バリアントのスキャンをサポートするようになり、scap-security-guide パッケージは関連チャネルで配布されるようになっています。(BZ#1311491)

今回の更新で、rsyslog7 マルチスレッド syslog デーモンが、GnuTLS コンポーネント内の TLS 1.2 を明示的に有効にするようになりました。(BZ#1323199)