4.4. セキュリティープラクティスの概要

パスワード設定 テストでは、ログイン認証サービスが HUT で有効になっており、サービスが SHA512 暗号化アルゴリズムを使用していることを確認します。このテストでは、最適なセキュリティーのために、イメージが標準の SHA512 暗号化および復号化アルゴリズムを使用していることを確認します。

RHEL 8 および 9 では、authselect ユーティリティーを使用します。

イメージに含まれる Red Hat パッケージに対してリリースされた重要および重大なセキュリティーエラータがすべてインストールされていることを確認します。Red Hat は、エラータがリリースされるたびにイメージを更新して再認定することを推奨しています。このテストでは、成功か失敗かを確認するために Red Hat のレビューが必要なため、実行時にステータス (REVIEW) が表示されます。

Security-Enhanced Linux (SELinux) サブテストでは、イメージ上で SELinux が有効になっており、permissive モードまたは enforcing モードで実行されていることを確認します。

SELinux は、Linux カーネルに強制アクセス制御 (MAC) を追加するもので、Red Hat Enterprise Linux ではデフォルトで有効になっています。SELinux ポリシーは、管理者によって定義され、システム全体に適用されるもので、ユーザーの裁量では設定されません。これにより、特権エスカレーション攻撃に対する脆弱性が低減し、設定時の被害を制限できます。プロセスへのアクセスが不正に行われても、攻撃者は、そのプロセスの通常の機能と、そのプロセスがアクセスするように設定されているファイルにしかアクセスできません。