第15章 セキュリティー
SELinux ユーザー空間パッケージがバージョン 2.5 にリベース
SELinux ユーザー空間パッケージがアップストリームバージョン 2.5 にアップグレードされ、以前のバージョンに対する機能強化、バグ修正、およびパフォーマンスの向上が数多く追加されました。SELinux ユーザー空間 2.5 で最も重要な新機能は次のとおりです。
- 新しい SELinux モジュールストアは優先度をサポートします。優先度の概念により、システムモジュールの優先度が高いモジュールを上書きすることができます。
- SELinux Common Intermediate Language (CIL)は、高レベルのコンパイラー、分析ツール、およびポリシー生成ツールで簡単に読み取り、解析、生成しやすい、明確かつ簡単な構文を提供します。
- ポリシーのインストールや新しいポリシーモジュールの読み込みなど、時間のかかる SELinux 操作が大幅に速くなりました。
注記:SELinux モジュールのデフォルトの場所は、Red Hat Enterprise Linux 7 の
/etc/selinux/ ディレクトリーに残りますが、アップストリームバージョンは /var/lib/selinux/ を使用します。移行用にこの場所を変更するには、/etc/selinux/semanage.conf ファイルに store-root= オプションを設定します。(BZ#1297815)
scap-workbench がバージョン 1.1.2 にリベースされました。
scap-workbench パッケージがバージョン 1.1.2 にリベースされ、新しい SCAP セキュリティーガイド統合ダイアログが提供されています。このダイアログは、管理者がコンテンツファイルを選択する代わりにスキャンする必要のある製品を選択するのに役立ちます。新しいバージョンでは、調整ウィンドウでルール検索を改善し、GUI を使用して SCAP コンテンツでリモートリソースをフェッチする可能性、ドライラン機能など、多くのパフォーマンスおよびユーザー拡張の改善も提供します。ドライラン機能により、ユーザーはスキャンを実行する代わりに、診断ウィンドウに oscap コマンドライン引数を取得できます。(BZ#1202854)
OpenSCAP がバージョン 1.2.10 にリベース
標準の Security Content Automation Protocol (SCAP)行の統合を可能にする OpenSCAP スイートが、最新のアップストリームバージョン 1.2.10 にリベースされました。openscap パッケージは、OpenSCAP ライブラリーおよび
oscap ユーティリティーを提供します。注目すべきは、今回の更新で atomic scan コマンドを使用してコンテナーをスキャンするサポートが追加されたことです。さらに、今回の更新では、以下の機能強化が追加されました。
oscap-vm: 仮想マシンのオフラインスキャンツールoscap-chrootは、任意のパスにマウントされているファイルシステムのオフラインスキャンツール- Open Vulnerability and Assessment Language (OVAL) 5.11.1 の完全サポート
- リモート .xml.bz2 ファイルのネイティブサポート
- さまざまな基準に応じた HTML レポート結果のグループ化
- HTML レポートの改善
- OVAL 評価のデバッグの詳細モード(BZ#1278147)
firewalld がバージョン 0.4.3.2 にリベースされました。
firewalld パッケージがアップストリームバージョン 0.4.3.2 にアップグレードされ、以前のバージョンに対する機能強化およびバグ修正が数多く追加されました。注目すべき変更点は次のとおりです。
- パフォーマンスの向上:同時に適用される新しいトランザクションモデルにより、
firewalldの起動と再起動が大幅に速くなります。このモデルは、iptables復元コマンドを使用します。また、firewall-cmdツール、firewall-offline-cmdツール、firewall-configツール、およびfirewall-appletツールが改善され、パフォーマンスを念頭に置いています。 - 接続、インターフェイス、およびソースの管理が改善されました。ユーザーは、
NetworkManagerの接続のゾーン設定を制御できるようになりました。また、インターフェイスのゾーン設定は、firewalldおよびifcfgファイルでも制御されます。 - デフォルトのロギングオプション:新しい
LogDenied設定を使用すると、ユーザーは拒否されたパケットを簡単にデバッグし、ログに記録できます。 ipsetサポート:firewalldは、リッチおよびダイレクトルール内で、複数の IP セットをゾーンソースとしてサポートするようになりました。Red Hat Enterprise Linux 7.3 では、firewalldは以下のipsetタイプのみに対応していることに注意してください。- hash:net
- hash:ip (BZ#1302802)
audit がバージョン 2.6.5 にリベース
audit パッケージには、Linux カーネルの audit サブシステムによって生成された監査レコードを保存および検索するためのユーザー空間ユーティリティーが含まれます。audit パッケージがアップストリームバージョン 2.6.5 にアップグレードされ、以前のバージョンに対する機能強化およびバグ修正が数多く追加されました。注目すべき変更点は次のとおりです。
監査デーモンにincremental_asyncと呼ばれる新しいフラッシュ技術が含まれるようになり、パフォーマンスは約 90 回改善されました。監査システムには、監査ポリシーに設定可能な多くのルールが含まれるようになりました。これらの新しいルールには、STIG (Security Technical Implementation Guide)、PCI Data Security Standard、および 32 ビットのシステムコールの発生、大きな電力使用量、モジュールの読み込みなどのその他の機能のサポートが含まれます。auditd.conf設定ファイルと auditctl コマンドが、多くの新しいオプションに対応するようになりました。監査システムは、Enrichedと呼ばれる新しいログ形式をサポートするようになりました。これにより、UID、GID、syscall、アーキテクチャー、およびネットワークアドレスが解決されます。これは、ログの生成先とは異なるマシンのログ分析に役立ちます。(BZ#1296204)
MACsec (IEEE 802.1AE)に対応
今回の更新で、イーサネットを介した Media Access Control Security (MACsec)暗号化がサポートされるようになりました。MACsec は、LAN のすべてのトラフィックを GCM-AES-128 アルゴリズムで暗号化し、認証します。(BZ#1104151)
rsyslog RELP モジュールが特定のルールセットにバインドするようになりました。
今回の更新で、rsyslog Reliable Event-Logging Protocol (RELP)モジュールが、各入力インスタンスで特定のルールセットにバインドできるようになりました。
input () インスタンスルールセットが module ()ルールセットよりも優先度が高くなります。(BZ#1223566)
rsyslog imfile モジュールがワイルドカードファイル名に対応
rsyslog パッケージは、強化されたマルチスレッドの syslog デーモンを提供します。今回の更新で、rsyslog imfile モジュールは、ファイル名内でワイルドカードを使用し、実際のファイル名をメッセージのメタデータに追加することをサポートするようになりました。これは、rsyslog がディレクトリー内のログを読み取る必要があり、事前にファイルの名前がわからない場合に役立ちます。(BZ#1303617)
audit.log の syscall がテキストに変換されるようになりました。
今回の更新で、
auditd は、異議申し立てイベントマルチプレクサーを介して syslog デーモンに転送する前に、システムコール番号を名前に変換するようになりました。監査 サブシステムがプロセス名でフィルターリングできるようになりました。
ユーザーは、( -F exe=<path-to-executable> オプションを使用して)実行 名で監査できるようになりました。これにより、多くの新しい監査ルールの式が可能になります。この機能を使用すると、ネットワーク接続を開く bash シェルなどのイベントを検出できます。(BZ#1135562)
mod_security_crs がバージョン 2.2.9 にリベース
mod_security_crs パッケージがアップストリームバージョン 2.2.9 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
- PHP の不正使用を検出する新しい PHP ルール(958977)。
JS はファイルを上書きし、正常な XSS プローブを特定します。- 新しい XSS 検出ルール。
- セッションハイジャックルールが修正されました。(BZ#1150614)
opencryptoki がバージョン 3.5 にリベースされました。
opencryptoki パッケージがバージョン 3.5 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
以下は、主な変更点です。
openCryptokiサービスは、lock/ディレクトリーとlog/ディレクトリーが存在しない場合は自動的に作成します。PKCS#11API は、すべてのトークンで SHA ハッシュを使用したハッシュベースのメッセージ認証コード(HMAC)をサポートします。openCryptokiライブラリーは、OPENCRYPTOKI_TRACE_LEVEL環境変数によって設定された動的トレースを提供します。(BZ#1185421)
gnutls が中央の証明書ストアを使用するようになる
gnutls パッケージは、SSL、TLS、DTLS などの暗号化アルゴリズムおよびプロトコルを実装する GNU Transport Layer Security (GnuTLS)ライブラリーを提供します。今回の更新で、GnuTLS は p11-kit パッケージを介して Red Hat Enterprise Linux の中央証明書ストアを使用するようになりました。認証局(CA)の更新、および証明書のブラックリストがランタイム時にアプリケーションに表示されるようになりました。(BZ#1110750)
firewall-cmd コマンドが、詳細情報を提供できるようになりました。
今回の更新で、firewalld にサービス、ゾーン、および
ICMP タイプの詳細が表示されます。さらに、ユーザーはソース XML ファイルへの完全パスを一覧表示できます。firewall-cmd の新しいオプションは次のとおりです。
- [--permanent] --info-zone=zone
- [--permanent] --info-service=service
- [--permanent] --info-icmptype=icmptype (BZ#1147500)
pam_faillock が unlock_time=neverで設定可能に
pam_faillock モジュールでは、複数の認証失敗によって引き起こされたユーザー認証ロックが期限切れにならない unlock_time=never オプションの使用を指定できるようになりました。(BZ#1273373)
libica がバージョン 2.6.2 にリベース
libica パッケージがアップストリームバージョン 2.6.2 に更新され、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべきは、今回の更新で、更新されたセキュリティー仕様 NIST SP 800-90A に従って、DRBG (Arimistic Random Bit Generator)のサポートが追加されたことです。(BZ#1274390)
新しい lastlog オプション
lastlog ユーティリティーに新しい --clear オプションおよび --set オプションが追加されました。これにより、システム管理者は、ユーザーの最後のログエントリーを、n never ログイン した値または現在の時間にリセットできるようになりました。つまり、アクティブではないことが原因で、以前にロックされたユーザーアカウントを再度有効にできるようになりました。(BZ#1114081)
Libreswan がバージョン 3.15 にリベース
Libreswan は、Linux 用の Internet Protocol Security (IPsec)および Internet Key Exchange (IKE)の実装です。libreswan パッケージがアップストリームバージョン 3.15 にアップグレードされ、以前のバージョンに対する機能強化およびバグ修正が数多く追加されました。注目すべき変更点は次のとおりです。
- SHA2 アルゴリズムを使用する場合、RFC 要件を満たすために nonce サイズが増えます。
Libreswanは、接続エラーが発生した場合にNetworkManagerヘルパーを呼び出すようになりました。- 証明書内のすべての
CRL ディストリビューションポイントが処理されるようになりました。 Libreswanは、存在しない IPsec Security Associations (SA)の削除を試行しなくなりました。plutoIKE デーモンには、CAP_DAC_READ_SEARCH機能が追加されました。- オンデマンドトンネルが使用されると、
plutoがクラッシュしなくなりました。 pam_acct_mgmtが適切に設定されるようになりました。- リグレッションが修正され、keyingtries=0 のトンネルは無限にトンネルを確立しようとします。
- 残っているよう設定された削除されたトンネルを再確立するまでの遅延は、1 秒未満になりました。(BZ#1389316)
nettle の SHA-3 実装が FIPS 202 に準拠するようになりました。
Net tle は、ほとんどすべてのコンテキストで簡単に適合するように設計された暗号化ライブラリーです。今回の更新で、Secure Hash Algorithm 3 (SHA-3)実装が更新され、最終的な FIPS (Federal Information Processing Standard) 202 ドラフトに対応するようになりました。(BZ#1252936)
scap-security-guide がバージョン 0.1.30 にリベース
scap-security-guide プロジェクトは、最終的なシステムのセキュリティーの観点からシステムを設定するためのガイドを提供します。パッケージがバージョン 0.1.30 にアップグレードされました。以下は、主な改善点です。
- NIST Committee on National Security Systems (CNSS) Instruction No. 1253 プロファイルが含まれ、Red Hat Enterprise Linux 7 用に更新されるようになりました。
- 米国Center for Internet Security (CIS)ベンチマークが受ける government Commercial Cloud Services (C2S)プロファイルが提供されるようになりました。
修復スクリプトがベンチマークに直接含まれ、外部シェルライブラリーが不要になりました。- Red Hat Enterprise Linux 7 の Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG)プロファイルが、Red Hat Enterprise Linux 6 の DISA STIG プロファイルと同等になるように更新されました。
- Criminal Justice Information Services (CJIS) Security Policy プロファイルのドラフトが Red Hat Enterprise Linux 7 で利用可能になりました。(BZ#1390661)
