第62章 セキュリティー
certutil は、FIPS モードで NSS データベースパスワード要件を返しません。
certutil ツールを使用して新しい Network Security Services (NSS)データベースを作成する場合、FIPS モードで実行する際にデータベースパスワードの要件を確認することはできません。プロンプトメッセージはパスワード要件を提供しておらず、certutil は一般的なエラーメッセージのみを返します。
certutil: could not authenticate to token NSS FIPS 140-2 Certificate DB.: SEC_ERROR_IO: An I/O error occurred during security authorization.
(BZ#1401809)
systemd-importd は init_tとして実行されます。
systemd-importd サービスは、systemd ユニットファイルの NoNewPrivileges セキュリティーフラグを使用しています。これにより、init_t ドメインから systemd_importd_t ドメインへの SELinux ドメインの移行がブロックされます。(BZ#1365944)
キックスタートインストールでは、SCAP パスワードの長さの要件は無視されます。
対話型キックスタートインストールは、SCAP ルールで定義されたパスワードの長さのチェックを強制せず、より短い root パスワードを受け入れます。この問題を回避するには、キックスタートファイルの pwpolicy root コマンドで --strict オプションを使用します。(BZ#1372791)
rhnsd.pid はグループまたはその他の方法で書き込み可能
Red Hat Enterprise Linux 7.4 では、
/var/run/rhnsd.pid ファイルのデフォルトパーミッションは -rw-rw-rw- に設定されます。この設定は安全ではありません。この問題を回避するには、このファイルのパーミッションを変更して、所有者のみが書き込み可能にします。
# chmod go-w /var/run/rhnsd.pid
(BZ#1480306)
