第11章 セキュリティー
すべてのシステムコンポーネントに TLS
1.2 サポートが追加されました
GnuTLS
コンポーネントに TLS
1.2 サポートが追加されたことで、Red Hat Enterprise Linux 6 は OpenSSL
、NSS
、および GnuTLS
の同梱セキュリティーライブラリー内の TLS
1.2 を完全サポートします。PCI-DSS v3.1 を含む複数の最新標準で、最新の TLS
プロトコルである TLS
1.2 を推奨しています。これが追加されたことで、TLS
1.2 のサポートを必須とする可能性のある将来のセキュリティー標準改訂で Red Hat Enterprise Linux 6 が使用可能になります。
Red Hat Enterprise Linux 6 における暗号化変更の詳細については、以下の Red Hat カスタマーポータルの記事を参照してください。https://access.redhat.com/blogs/766093/posts/2787271 (BZ#1339222)
OpenSCAP
1.2.13 が NIST 認定を受けました
OpenSCAP
1.2.13 は、米国標準技術局 (NIST) の Security Content Automation Protocol (SCAP) 1.2 により、認証設定カテゴリーの Common Vulnerabilities and Exposure (CVE) オプションで認証されています。OpenSCAP
は、SCAP 標準の各コンポーネントを分析して評価することが可能なライブラリーを提供します。これにより、新たな SCAP ツールの作成が容易になります。また、OpenSCAP
は、コンテンツをドキュメントに書式設定したり、このコンテンツに基づいてシステムをスキャンするように設計されている多目的ツールを提供します。(BZ#1364207)
vsftpd がデフォルトで TLS
1.2 を使用します
Very Secure File Transfer Protocol (FTP) デーモン (vsftpd) のユーザーは、最大 1.2 までの
TLS
プロトコルのバージョンを選択できるようになりました。TLS
1.2 はデフォルトで有効にされ、vsftpd のセキュリティーレベルは Red Hat Enterprise Linux 7 のパッケージのものと同等レベルに引き上げられています。TLS
1.2 に固有の新たなデフォルトの暗号である ECDHE-RSA-AES256-GCM-SHA384
と ECDHE-ECDSA-AES256-GCM-SHA384
が追加されました。これらの変更は、既存設定に影響しません。(BZ#1350724)
auditd
が incremental_async
をサポートするようになりました
audit
デーモンが incremental_async
と呼ばれる新たなフラッシュ技術をサポートするようになりました。この新規モードは、セキュリティーのためにフラッシュの間隔を短く保ちながら audit
デーモンのロギングパフォーマンスを大幅に改善します。(BZ#1369249)
scap-security-guide が ComputeNode をサポートします
scap-security-guide プロジェクトが Red Hat Enterprise Linux の ComputeNode バリアントのスキャンをサポートするようになり、scap-security-guide パッケージは関連チャネルで配布されるようになっています。(BZ#1311491)
rsyslog7
が TLS
1.2 を有効にします
今回の更新で、
rsyslog7
マルチスレッド syslog デーモンが、GnuTLS
コンポーネント内の TLS
1.2 を明示的に有効にするようになりました。(BZ#1323199)