Red Hat Summit第25章 非推奨の機能
この章では、Red Hat Enterprise Linux 6.9 までのすべてのマイナーリリースで非推奨となった機能や、場合によっては削除された機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 6 のライフサイクルが終了するまでサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新バージョンのリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正にのみ行われます。Red Hat は、このようなハードウェアの早期交換を推奨します。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。特定の状況下では、製品からパッケージを削除できるようになりました。次に、非推奨となったパッケージと同様の、同一、またはより高度な機能を提供する最新のパッケージを特定し、さらなる推奨事項を提供します。
非推奨の安全でないアルゴリズムとプロトコル
暗号化ハッシュと暗号化、および暗号化プロトコルを提供するアルゴリズムには使用可能な期間があり、それを過ぎるとリスクが高すぎるか、安全でないとみなされます。詳細は、Red Hat カスタマーポータルの記事 Deprecation of Insecure Algorithms and Protocols in RHEL 6.9 を参照してください。
- MD5、MD4、および SHA0 は、
OpenSSLの署名アルゴリズムとして使用できなくなりました( )。 - 今回の更新で、証明書、証明書失効リスト(CRL)、およびメッセージ署名における MD5、MD4、および SHA0 署名の検証のサポートが削除されました。システム管理者は、
etc/pki/tls/legacy-settingsポリシー設定ファイルのLegacySigningMDsオプションを変更することで、MD5、MD4、または SHA0 のサポートを有効にできます。以下に例を示します。echo 'LegacySigningMDs algorithm' >> /etc/pki/tls/legacy-settings複数のレガシーアルゴリズムを追加するには、改行を除き、コンマまたは任意の空白文字を使用します。詳細は、OpenSSLパッケージのREADME.legacy-settingsを参照してください。OPENSSL_ENABLE_MD5_VERIFY環境変数を設定することで、MD5 の検証を有効にすることもできます。 OpenSSLクライアントは )- この変更により、
OpenSSLクライアントが 1024 ビットより短い Diffie-Hellman (DH)パラメーターを持つサーバーに接続できなくなります。これにより、OpenSSLを使用して許可されたクライアントは LOGJAM 攻撃などの攻撃に対して脆弱ではありません。システム管理者は、/etc/pki/tls/legacy-settingsのMinimumDHBitsオプションを変更することで、より短い DH パラメーターサポートを有効にできます。次に例を示します。echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settingsこのオプションは、システム管理者が必要とする場合に、最小値を上げるためにも使用できます。 OpenSSLの EXPORT 暗号スイートが非推奨になりました。- この変更により、
OpenSSLツールキットの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、FREAK 攻撃などの攻撃が防止されます。EXPORT 暗号スイートは、TLSプロトコル設定では必要ありません。 GnuTLSクライアントは )。- この変更により、GNU Transport Layer Security (GnuTLS) クライアントが 1024 ビットより短い Diffie-Hellman (DH) パラメーターを持つサーバーに接続できなくなりました。これにより、
GnuTLSを使用して許可されたクライアントは、LOGJAM 攻撃などの攻撃に対して脆弱ではありません。システム管理者は、/etc/pki/tls/legacy-settingsのMinimumDHBitsオプションを変更することで、より短い DH パラメーターサポートを有効にできます。次に例を示します。echo 'MinimumDHBits 768' > /etc/pki/tls/legacy-settingsこのオプションは、システム管理者が必要とする場合に、最小値を上げるためにも使用できます。 GnuTLSの EXPORT 暗号スイートが非推奨になりました。- この変更により、GnuTLS (GNU Transport Layer Security)ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、FREAK 攻撃などの攻撃が防止されます。EXPORT 暗号スイートは、
TLSプロトコル設定では必要ありません。GnuTLSEXPORT 暗号スイートの優先度文字列は残りますが、NORMAL 優先度文字列のエイリアスとして残します。 - MD5 は )。
- この変更により、Network Security Services (NSS)ライブラリーが
TLSの署名アルゴリズムとして MD5 を使用するのを防ぎます。この変更により、NSSを使用するプログラムが SLOTH 攻撃などの攻撃に対して脆弱にならないようにします。システム管理者は、/etc/pki/nss-legacy/nss-rhel6.configポリシー設定ファイルを次のように変更することで、MD5 サポートを有効にできます。library= name=Policy NSS=flags=policyOnly,moduleDB config="allow=MD5"ファイルの最後に空の行が必要であることに注意してください。 TLSを使用するNSSクライアントでは )。- この変更により、Network Security Services (NSS) クライアントが 1024 ビットより短い Diffie-Hellman (DH) パラメーターを持つサーバーに接続できなくなります。これにより、
NSSを使用して許可されたクライアントは LOGJAM 攻撃などの攻撃に対して脆弱ではありません。システム管理者は、/etc/pki/nss-legacy/nss-rhel6.configポリシー設定ファイルを変更して、より短い DH パラメーターサポートを有効にできます。library= name=Policy NSS=flags=policyOnly,moduleDB config="allow=DH-MIN=767:DSA-MIN=767:RSA-MIN=767"ファイルの最後に空の行が必要であることに注意してください。 NSSの EXPORT 暗号スイートが非推奨になりました。- この変更により、Network Security Services (NSS) ライブラリーの EXPORT 暗号スイートのサポートが削除されます。これらの弱い暗号スイートを無効にすると、FREAK 攻撃などの攻撃が防止されます。EXPORT 暗号スイートは、
TLSプロトコル設定では必要ありません。 OpenSSHで非推奨のアルゴリズム:RC4、hmac-md5、および hmac-md5-96- この更新により、
arcfour256、arcfourhmac-md5、hmac-md5-96メッセージ認証コード(MAC)アルゴリズムが非推奨になりました。この変更は、既存のサーバー設定には影響しないことに注意してください。システム管理者は、ssh_configファイルを編集して、この非推奨のアルゴリズムを有効にできます。次に例を示します。Host legacy-system.example.com Ciphers arcfour MACs hmac-md5非推奨のすべてのアルゴリズムを完全に復元するには、以下のスニペットを/etc/ssh/ssh_configファイルに追加します。Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se MACs hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 GnuTLSは 1415682)を提供しなくなりました。https://bugzilla.redhat.com/show_bug.cgi?id=1415682- 暗号化バックエンドの置き換えを実装する関数は廃止されたものと見なされ、現在 no-operation 関数として機能します。
gnutls/crypto.hファイルにエクスポートされる以下の関数が影響を受けます。- gnutls_crypto_single_cipher_register2
- gnutls_crypto_single_mac_register2
- gnutls_crypto_single_digest_register2
- gnutls_crypto_cipher_register2
- gnutls_crypto_mac_register2
- gnutls_crypto_digest_register2
- gnutls_crypto_rnd_register2
- gnutls_crypto_pk_register2
- gnutls_crypto_bigint_register2
非推奨ドライバー
- 非推奨のデバイスドライバー( )
- 3w-9xxx
- 3w-sas
- 3w-xxxx
- aic7xxx
- i2o
- ips
- megaraid_mbox
- mptbase
- mptctl
- mptfc
- mptlan
- mptsas
- mptscsih
- mptspi
- sym53c8xx
- qla3xxx
megaraid_sasドライバーから次のコントローラーが非推奨になりました。- Dell PERC5, PCI ID 0x15
- SAS1078R, PCI ID 0x60
- SAS1078DE, PCI ID 0x7C
- SAS1064R, PCI ID 0x411
- VERDE_ZCR, PCI ID 0x413
- SAS1078GEN2, PCI ID 0x78
be2iscsiドライバーから次のコントローラーが非推奨になりました:- BE_DEVICE_ID1, PCI ID 0x212
- OC_DEVICE_ID1、PCI ID 0x702
- OC_DEVICE_ID2、PCI ID 0x703
上述のドライバーのうち、ここに記載されていないその他のコントローラーには変更はありません。
その他の非推奨コンポーネント
クラスター、luciコンポーネント- Red Hat Enterprise Linux 6.4 でテクノロジープレビューとして導入された
fence_sanlockエージェントとcheckquorum.wdmdは、ハードウェアウォッチドッグデバイスを使用したノードの復旧をトリガーするメカニズムを提供しますが、非推奨とみなされます。 Openswanコンポーネント- openswan パッケージは非推奨となり、libreswan パッケージが、openscan が VPN エンドポイントソリューションを提供する直接の代わりとして導入されました。システムのアップグレード中に、Opens wan は libreswan に置き換えられます。
SeaBIOSコンポーネント- S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。
- キックスタートコマンドの zerombr yes が非推奨になりました。
- Red Hat Enterprise Linux の一部のバージョンでは、キックスタートのインストール中に無効なパーティションテーブルを初期化するために zerombr yes コマンドが使用されていました。これは、2 つの単語が必要で、他のコマンドには 1 つの単語が必要なため、キックスタートコマンドの残りの部分と一貫性がありませんでした。Red Hat Enterprise Linux 6.7 以降では、キックスタートファイルに zerombr のみを指定するだけで十分です。また、古い 2 キーワードの形式は非推奨になりました。
- voidrfs ファイルシステム
- B-tree ファイルシステム(Btrfs)は、Red Hat Enterprise Linux 6 では非推奨です。Btrfs は以前はテクノロジープレビューとして提供され、AMD64 および Intel 64 アーキテクチャーで利用可能でした。
- eCryptfs ファイルシステム
- 以前はテクノロジープレビューとして利用できた eCryptfs ファイルシステムは、Red Hat Enterprise Linux 6 では非推奨とみなされていました。
mingwコンポーネント- Red Hat Enterprise Linux 6.3 で Matahari パッケージが非推奨になり、今回は mingw パッケージが非推奨と示され、その後から Red Hat Enterprise Linux 6.4 から Matahari パッケージが削除されたため、mingw パッケージは Red Hat Enterprise Linux 2.14 以降から削除されました。mingw パッケージは、Red Hat Enterprise Linux 6 マイナーリリースでは提供されなくなり、セキュリティー関連の更新を受け取ることもありません。そのため、Red Hat Enterprise Linux 6 システムから mingw パッケージの以前のリリースをアンインストールすることが推奨されます。
virtio-winコンポーネント(BZ#1001981)- VirtIO SCSI ドライバーは、Microsoft Windows Server 2003 プラットフォームではサポートされなくなりました。
fence-agentsコンポーネント- Red Hat Enterprise Linux 6.5 リリースでは、Red Hat Enterprise Linux High Availability Add-On は、fence_scsi フェンスエージェントと組み合わせて、特定の VMware ESXi/vCenter バージョンで完全にサポートされていました。SCSI-3 永続予約の領域におけるこれらの VMware プラットフォームの制限により、iSCSI ベースのストレージを使用する場合を除いて、VMware 仮想マシンの Red Hat Enterprise Linux High Availability Add-On のバージョンでは
fence_scsiフェンシングエージェントはサポートされなくなりました。サポートされる組み合わせの詳細は、Virtualization Support Matrix for High Availability を参照してください。https://access.redhat.com/site/articles/29440影響を受ける組み合わせでfence_scsiを使用するユーザーは、Red Hat グローバルサポートサービスに連絡して、代替設定の評価や追加情報を支援を受けることができます。 SystemTapコンポーネント( )- systemtap-grapher パッケージは、Red Hat Enterprise Linux 6 から削除されました。詳細は、を参照してください https://access.redhat.com/solutions/757983。
Matahariコンポーネント- Matahari エージェントフレームワーク(matahari-*)パッケージは、Red Hat Enterprise Linux 6 から削除されました。リモートシステム管理に重点を置いた場合は、CIM インフラストラクチャーの使用に反しています。このインフラストラクチャーは、既存の標準に依存しており、すべてのユーザーにとってよりある程度の相互運用性を提供します。
ディストリビューションコンポーネント( )- 以下のパッケージは非推奨となり、Red Hat Enterprise Linux 6 の今後のリリースで削除される予定です。これらのパッケージは Red Hat Enterprise Linux 6 リポジトリーでは更新されず、MRG-Messaging 製品を使用しないお客様は、システムからアンインストールすることが推奨されます。
- python-qmf
- python-qpid
- qpid-cpp
- qpid-qmf
- qpid-tests
- qpid-tools
- ruby-qpid
- saslwrapper
Red Hat MRG-Messaging のお客様は、製品への定期的な更新の一環として、更新された機能を引き続き受けることができます。 fence-virtコンポーネント- libvirt-qpid は fence-virt パッケージの一部ではなくなりました。
OpenSCAPコンポーネント- openscap-perl サブパッケージは openscap から削除されました。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}