第32章 セキュリティー
ユーザーが検索できないパスでの chrooting に依存する設定が適切に機能するようになる
Red Hat Enterprise Linux 7.3 では、
OpenSSH ツールの chroot プロセスが変更され、SELinux システムポリシーが強化され、chroot を実行する前に root UID が削除されていました。その結果、ユーザーが検索できないパスでの chrooting に依存する既存の設定が動作を停止しました。この openssh パッケージの更新により、変更は元に戻されました。さらに、管理者が selinuxuser_use_ssh_chroot ブール値を有効にしている場合に、制限されたユーザーが OpenSSH chroot を使用できるようにすることで、SELinux システムポリシーでこの問題が修正されています。上述の設定は、Red Hat Enterprise Linux 7.2 と同じように機能するようになりました。(BZ#1418062)
firewalld がすべての ICMP タイプに対応
以前は、Internet Control Message Protocol (ICMP) タイプの一覧が完了していませんでした。そのため、
packet-too-big などの一部の ICMP タイプはブロックまたは許可できませんでした。今回の更新で、追加の ICMP タイプへの対応が追加され、firewalld サービスデーモンですべての ICMP タイプを処理できるようになりました。(BZ#1401978)
selinux-policyで docker.pp が container.pp に置き換えられる
今回の更新以前は、container-selinux パッケージの
container.te ファイルには、同等のコンテナーインターフェイスを参照する Docker インターフェイスと docker.if ファイルが含まれていました。そのため、container.te ファイルをコンパイルする際に、コンパイラーは重複するインターフェイスについて警告していました。今回の更新で、selinux-policy パッケージの docker.pp ファイルが container.pp ファイルに置き換えられ、上記のシナリオで警告が発生しなくなりました。(BZ#1386916)
最近追加されたカーネルクラスとパーミッションは、selinux-policy で定義されています。
以前では、いくつかの新しいクラスとパーミッションがカーネルに追加されていました。その結果、システムポリシーで定義されていないクラスとパーミッションにより、SELinux の拒否や警告が発生しました。今回の更新で、最近追加したすべてのカーネルクラスとパーミッションが selinux-policy パッケージで定義され、拒否と警告が発生しなくなりました。(BZ#1368057)
nss が PKCS#12 ファイルを適切に処理
以前は、pk12util ツールを使用して PKCS#5 v2.0 形式を使用して強力な暗号を持つ PKCS#12 ファイルの証明書を一覧表示すると、出力はありませんでした。さらに、pk12util を使用して PKCS#12 ファイルの証明書を SHA-2 メッセージ認証コード(MAC)で一覧表示すると、MAC エラーが報告されましたが、証明書は出力されませんでした。今回の更新で、PKCS#12 ファイルのインポートおよびエクスポートが
OpenSSL 処理と互換性を持つように変更され、PKCS#12 ファイルが上記のシナリオで適切に処理されるようになりました。(BZ#1220573)
OpenSCAP が有用なメッセージおよび警告のみを生成するようになりました。
以前では、デフォルトのスキャン出力設定が変更され、デバッグメッセージも標準出力に出力されていました。その結果、
OpenSCAP 出力はエラーおよび警告に完全でした。この出力は読みにくく、SCAP Workbench もこれらのメッセージを処理できませんでした。今回の更新で、デフォルトの出力設定の変更が元に戻され、OpenSCAP が有用な出力を生成するようになりました。(BZ#1447341)
AIDE が syslog 形式でログを記録するようになりました。
今回の更新で、syslog_format オプションを指定した
AIDE 検出システムは、rsyslog互換形式でログに記録されます。マルチラインログにより、リモート rsyslog サーバーでの解析中に問題が発生します。新しい syslog_format オプションを使用すると、AIDE は 1 行でログに記録されるすべての変更でログに記録できるようになりました。(BZ#1377215)
OpenSCAP セキュリティー強化プロファイルを使用したインストールが続行される
今回の更新以前は、scap-security-guide パッケージのタイプミスにより、
Anaconda インストールプログラムが終了し、マシンを再起動していました。そのため、Red Hat Enterprise Linux 7.4 のインストールプロセスで、Criminal Justice Information Services (CJIS) などのセキュリティー強化プロファイルを選択することができませんでした。タイプミスが修正され、OpenSCAP セキュリティー強化プロファイルを使用したインストールが続行されるようになりました。(BZ#1450731)
OpenSCAP および SSG が、RHV-H システムを正しくスキャンできるようになりました。
以前は、OpenSCAP および SCAP Security Guide (SSG)ツールを使用して、Red Hat Virtualization Host (RHV-H)として機能する Red Hat Enterprise Linux システムをスキャンすると、
Not Applicable 結果が返されていました。この更新により、OpenSCAP と SSG は RHV-H を Red Hat Enterprise Linux として正しく識別します。これにより、OpenSCAP と SSG は RHV-H システムを適切にスキャンできます。(BZ#1420038)
OpenSCAP が、CVE OVAL フィードで非圧縮 XML ファイルも処理するようになりました。
以前は、
OpenSCAP ツールは、フィードからの圧縮された CVE OVAL ファイルのみを処理できました。その結果、RedHat が提供する CVE OVAL フィードを脆弱性スキャンのベースとして使用することはできません。今回の更新で、OpenSCAP は ZIP および BZIP2 ファイルだけでなく、CVE OVAL フィードの非圧縮 XML ファイルもサポートし、CVE OVAL ベースのスキャンは追加手順なしで適切に機能するようになりました。(BZ#1440192)
