第55章 コンパイラーおよびツール
実行可能スタックが無効になっていると、JIT 技術で正規表現のパフォーマンスを向上できません。
SELinux
ポリシーが実行スタックを許可しないと、PCRE
ライブラリーは JIT コンパイルを使用して正規表現を高速化できません。その結果、正規表現に対する JIT コンパイラーの試行は無視され、パフォーマンスが向上しません。
この問題を回避するには、影響を受ける
SELinux
ドメインで execmem アクションを有効にするルールで SELinux
ポリシーを修正し、JIT コンパイルを有効にします。一部のルールはすでに提供されており、特定の SELinux ブール値で有効にできます。ブール値の一覧を表示するには、以下のコマンドの出力を参照してください。
getsebool -a | grep execmem
別の回避策は、
pcre_study ()
関数への呼び出しで JIT コンパイルを要求しないようにアプリケーションコードを変更することです。(BZ#1290432)
Gluster ライブラリーをアンロードした後、特定のアプリケーションが終了しない場合、メモリーリークが発生する
Gluster は、多くの内部コンポーネントと、関数や機能を実装するさまざまなトランスレーターで設定されています。Gluster をアプリケーションと密接に統合するために、
gfapi
アクセスメソッドが追加されました。ただし、すべてのコンポーネントおよびトランスレーターが、実行中のアプリケーションでアンロードできるように設計されているわけではありません。そのため、Gluster ライブラリーのアンロード後に終了しないプログラムは、Gluster が内部的に実行しているメモリー割り当ての一部を解放できません。
メモリーリークの量を減らすために、アプリケーションが可能な限り
glfs_init ()
および glfs_fini ()
関数を呼び出しないようにします。リークしたメモリーを解放するには、長時間実行しているアプリケーションを再起動する必要があります。(BZ#1409773)
DISA SRG への URL が正しくない
SCAP Security Guide (SSG) ルールは、米国国防情報システム局セキュリティー要件ガイド (DISA SRG) を参照しています。URL への接続に失敗し、
404 - not found
エラーが表示されます。そのため、ユーザーは SRG を直接参照することができません。この問題を回避するには、新しい URL を使用します。http://iase.disa.mil/stig/os/general/Pages/index.aspx/ (BZ#1464899)
ensure_gpgcheck_repo_metadata
ルールが失敗する
ensure_gpgcheck_repo_metadata
ルールの修復中に、特定のプロファイルは yum.conf
ファイルを更新して repo_gpgcheck
オプションを有効にします。Red Hat は現在、署名付きリポジトリーメタデータを提供していません。これにより、yum
ユーティリティーは、公式リポジトリーからパッケージをインストールできなくなりました。この問題を回避するには、テーラリングファイルを使用して、プロファイルから ensure_gpgcheck_repo_metadata
を削除します。修復によりシステムが壊れている場合は、yum.conf
を更新し、repo_gpgcheck
を 0
に設定します。(BZ#1465677)
SSG pam_faillock モジュール使用率の確認で、default=dieが正しく受け入れられない
SCAP セキュリティーガイド(SSG)の pam_faillock モジュールの使用率チェックでは、default=die オプションが正しく受け入れられません。したがって、pam_unix モジュールを使用したユーザー認証が失敗すると、pam_faillock のカウンターをインクリメントせずに、pam スタックの評価がただちに停止します。この問題を回避するには、authfail オプションの前に default=die を使用しないでください。これにより、pam_faillock カウンターが適切にインクリメントされます。(BZ#1448952)