第12章 セキュリティー

Logjam セキュリティー脆弱性の表示では、gss-group1-sha1-* key-exchange メソッドはセキュアとみなされなくなりました。この鍵交換メソッドを通常の鍵交換として無効にできる可能性はありますが、GSSAPI 鍵交換として無効にすることはできませんでした。今回の更新で、管理者は GSSAPI 鍵交換によって使用されるこのアルゴリズムまたはその他のアルゴリズムを選択的に無効にできるようになりました。

以前は、Red Hat Gluster Storage (RHGS)コンポーネントの SELinux ポリシーがなく、Gluster は SELinux が Permissive モードである場合にのみ適切に機能していました。今回の更新で、glusterd (glusterFS Management Service)、glusterfsd (NFS sever)、smbd、nfsd、rpcd の SELinux ポリシールールが更新され、Gluster の SELinux サポートが提供されるようになりました。

openscap パッケージがアップストリームバージョン 1.2.5 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。

主な機能強化は、次のとおりです。

* OVAL バージョン 5.11 のサポート。systemd プロパティーなど、複数の改善が行われました。

* xml.bz2 入力ファイルのネイティブサポートが導入されました。

* リモートシステムを評価するための oscap-ssh ツールが導入されました。

* コンテナー/イメージを評価する oscap-docker ツールが導入されました。

scap-security-guide ツールがアップストリームバージョン 0.1.25 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。

主な機能強化は、次のとおりです。

* Red Hat Enterprise Linux 7 サーバーの新しいセキュリティープロファイル：Common Profile for General-Purpose Systems、Draft PCI-DSS v3 Control Baseline、Standard System Security Profile、および Draft STIG for Red Hat Enterprise Linux 7 Server。

* Firefox および Java Runtime Environment (JRE)コンポーネントの新しいセキュリティーベンチマークは、Red Hat Enterprise Linux 6 および 7 で実行されます。

* XCCDF ベンチマークから生成されたセキュリティーガイドを含む HTML 形式のドキュメントが含まれる新しい scap-security-guide-doc サブパッケージ(Red Hat Enterprise Linux 6 および 7、Firefox、および JRE のセキュリティーベンチマークに同梱されるすべてのセキュリティープロファイル用)。