第55章 コンパイラーおよびツール

SELinux ポリシーが実行スタックを許可しないと、PCRE ライブラリーは JIT コンパイルを使用して正規表現を高速化できません。その結果、正規表現に対する JIT コンパイラーの試行は無視され、パフォーマンスが向上しません。

この問題を回避するには、影響を受ける SELinux ドメインで execmem アクションを有効にするルールで SELinux ポリシーを修正し、JIT コンパイルを有効にします。一部のルールはすでに提供されており、特定の SELinux ブール値で有効にできます。ブール値の一覧を表示するには、以下のコマンドの出力を参照してください。

getsebool -a | grep execmem

別の回避策は、pcre_study （） 関数への呼び出しで JIT コンパイルを要求しないようにアプリケーションコードを変更することです。(BZ#1290432)

Gluster は、多くの内部コンポーネントと、関数や機能を実装するさまざまなトランスレーターで設定されています。Gluster をアプリケーションと密接に統合するために、gfapi アクセスメソッドが追加されました。ただし、すべてのコンポーネントおよびトランスレーターが、実行中のアプリケーションでアンロードできるように設計されているわけではありません。そのため、Gluster ライブラリーのアンロード後に終了しないプログラムは、Gluster が内部的に実行しているメモリー割り当ての一部を解放できません。

メモリーリークの量を減らすために、アプリケーションが可能な限り glfs_init （） および glfs_fini （） 関数を呼び出しないようにします。リークしたメモリーを解放するには、長時間実行しているアプリケーションを再起動する必要があります。(BZ#1409773)

SCAP Security Guide (SSG) ルールは、米国国防情報システム局セキュリティー要件ガイド (DISA SRG) を参照しています。URL への接続に失敗し、404 - not found エラーが表示されます。そのため、ユーザーは SRG を直接参照することができません。この問題を回避するには、新しい URL を使用します。http://iase.disa.mil/stig/os/general/Pages/index.aspx/ (BZ#1464899)

ensure_gpgcheck_repo_metadata ルールの修復中に、特定のプロファイルは yum.conf ファイルを更新して repo_gpgcheck オプションを有効にします。Red Hat は現在、署名付きリポジトリーメタデータを提供していません。これにより、yum ユーティリティーは、公式リポジトリーからパッケージをインストールできなくなりました。この問題を回避するには、テーラリングファイルを使用して、プロファイルから ensure_gpgcheck_repo_metadata を削除します。修復によりシステムが壊れている場合は、yum.conf を更新し、repo_gpgcheck を 0 に設定します。(BZ#1465677)

SCAP セキュリティーガイド(SSG)の pam_faillock モジュールの使用率チェックでは、default=die オプションが正しく受け入れられません。したがって、pam_unix モジュールを使用したユーザー認証が失敗すると、pam_faillock のカウンターをインクリメントせずに、pam スタックの評価がただちに停止します。この問題を回避するには、authfail オプションの前に default=die を使用しないでください。これにより、pam_faillock カウンターが適切にインクリメントされます。(BZ#1448952)