第15章 セキュリティー
新規パッケージ: tang、clevis、jose、luksmeta
Network Bound Disk Encryption (NBDE) を使用すると、システムの再起動時にパスワードを手動で入力することなく、物理マシンおよび仮想マシンのハードドライブの root ボリュームを暗号化できます。
- Tang は、データをネットワークの存在にバインドするサーバーです。これには、リモートサービスにバインドするための暗号化操作を提供するデーモンが含まれます。tang パッケージは、NBDE プロジェクトのサーバー側を提供します。
- Clevis は、自動化された復号用のプラグイン可能なフレームワークです。これを使用すると、データの自動復号化や LUKS ボリュームの自動ロック解除を行うこともできます。clevis パッケージは、NBDE プロジェクトのクライアント側を提供します。
- Joséは、Javascript Object Signing and Encryption 標準の C 言語実装です。jose パッケージは、clevis パッケージおよび tang パッケージの依存関係です。
- LUKSMeta は、LUKSv1 ヘッダーにメタデータを保存する単純なライブラリーです。luksmeta パッケージは、clevis パッケージおよび tang パッケージの依存関係です。
tang-nagios サブパッケージおよび clevis-udisk2 サブパッケージは、テクノロジープレビューとしてのみ利用できます。(BZ#1300697, BZ#1300696, BZ#1399228, BZ#1399229)
新規パッケージ: usbguard
USBGuard ソフトウェアフレームワークは、デバイス属性に基づく基本的なホワイトリスト機能およびブラックリスト機能を実装することにより、侵入型 USB デバイスに対するシステム保護を提供します。ユーザー定義のポリシーを適用するために、USBGuard は Linux カーネルの USB デバイス認証機能を使用します。USBGuard フレームワークは、以下のコンポーネントを提供します。
- 動的対話およびポリシー強制向けの IPC (inter-process communication) インターフェイスを使用したデーモンコンポーネント
- 実行中の USBGuard インスタンスと対話するコマンドラインインターフェイス
- USB デバイス認証ポリシーを記述するルール言語
- 共有ライブラリー (BZ#1395615) に実装されているデーモンコンポーネントと相互作用する C++ API
openssh がバージョン 7.4 にリベース
openssh パッケージがアップストリームバージョン 7.4 に更新され、以下のような機能拡張、新機能、バグ修正が数多く追加されました。
SFTPで中断されたアップロードの再開のサポートが追加されました。- 認証失敗メッセージの拡張ログ形式が追加されました。
- SHA-256 アルゴリズムを使用する新しいフィンガープリントタイプを追加しました。
- 外部 PIN エントリーデバイスで PKCS#11 デバイスの使用サポートを追加しました。
OpenSSHサーバーから SSH-1 プロトコルに対応しなくなりました。- 従来の
v00 証明書形式のサポートを削除しました。 - キータイプを選択的に無効にできるように、
sshユーティリティーおよび sshd デーモンの PubkeyAcceptedKeyTypes および HostKeyAlgorithms 設定オプションを追加しました。 OpenSSHクライアントに AddKeysToAgent オプションを追加しました。- ProxyJump ssh オプションと対応する -J コマンドラインフラグが追加されました。
- Diffie-Hellman 2K、4K、および 8K グループの鍵交換方法へのサポートが追加されました。
ssh_configファイルに Include ディレクティブを追加しました。- UseLogin オプションのサポートを削除しました。
- サーバーでの事前認証圧縮のサポートを削除しました。
- seccomp フィルターが、事前認証プロセスに使用されるようになりました。(BZ#1341754)
audit がバージョン 2.7.6 にリベース
audit パッケージがアップストリームバージョン 2.7.6 に更新され、以下のような機能拡張、新機能、バグ修正が数多く追加されました。
auditdサービスは、起動時にログディレクトリーのパーミッションを自動的に調整するようになりました。これにより、パッケージのアップグレードを実行した後も、ディレクトリーのパーミッションを正しく維持できます。ausearchユーティリティーには、新しい --format 出力オプションがあります。--format text オプションは、発生している内容を説明する英語の文としてイベントを表示します。--format csv オプションは、CSV (Comma Separated Value)形式で出力されるメタデータフィールドのほかに、サブジェクト、オブジェクト、アクション、結果、発生方法にログを正規化します。これは、イベント情報をデータベース、スプレッドシート、またはその他の分析プログラムにプッシュして監査イベントを表示、チャート、または分析する場合に適しています。auditctlユーティリティーは、--reset-lost コマンドラインオプションを使用して、カーネルの失われたイベントカウンターをリセットできるようになりました。これにより、値を毎日ゼロにリセットできるため、失われたイベントのチェックが容易になります。ausearchおよびaureportには、システムが 起動 してからイベントを検索する --start コマンドラインオプションの起動オプションが追加されました。ausearchおよびaureportは、監査フィールドに行われるエスケープの種類をより適切に制御するための新しい --escape コマンドラインオプションを提供します。現在、raw、tty、shell、およびshell_quoteエスケープをサポートしています。auditctlでは、エントリーフィルターを使用したルールが許可されなくなりました。このフィルターは、Red Hat Enterprise Linux 5 以降はサポートされていません。このリリース以前は、Red Hat Enterprise Linux 6 および 7 では、auditctlはエントリールールを終了フィルターに移動し、エントリーフィルターが非推奨であるという警告を表示していました。(BZ#1381601)
opensc がバージョン 0.16.0 にリベース
OpenSC のライブラリーおよびユーティリティーセットは、スマートカードの使用をサポートします。OpenSC は、暗号化操作に対応し、認証、メールの暗号化、またはデジタル署名に使用できるカードにフォーカスします。
Red Hat Enterprise Linux 7.4 の注目すべき機能強化は、以下のとおりです。
OpenSCは、Common Access Card (CAC)カードのサポートを追加します。OpenSCはPKCS#11API を実装し、CoolKeyアプレット機能も提供するようになりました。opensc パッケージは、coolkey パッケージを置き換えます。
coolkey パッケージは、Red Hat Enterprise Linux 7 の有効期間中サポートされ続けますが、新しいハードウェアの有効化は、opensc パッケージで提供されることに注意してください。(BZ#1081088, BZ#1373164)
openssl がバージョン 1.0.2k にリベース
openssl パッケージがアップストリームバージョン 1.0.2k に更新され、以下のような機能拡張、新機能、バグ修正が数多く追加されました。
- Datagram Transport Layer Security TLS (DTLS) プロトコルバージョン 1.2 のサポートが追加されました。
- TLS での ECDHE 鍵交換に対する自動楕円曲線選択のサポートが追加されました。
- Application-Layer Protocol Negotiation (ALPN) のサポートが追加されました。
- Cryptographic Message Syntax (CMS) のサポートが、RSA-PSS、RSA-OAEP、ECDH、および X9.42 DH のスキームに追加されました。
このバージョンは、Red Hat Enterprise Linux 7 の以前のリリースの
OpenSSL ライブラリーバージョンの API および ABI と互換性があることに注意してください。(BZ#1276310)
openssl-ibmca がバージョン 1.3.0 にリベース
openssl-ibmca パッケージがアップストリームバージョン 1.3.0 に更新され、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
- SHA-512 のサポートが追加されました。
- 暗号化メソッドは、
ibmcaエンジンの起動時に動的に読み込まれます。これにより、libicaライブラリーを介してハードウェアでサポートされている場合、ibmcaは暗号化メソッドを指示できます。 - ストリーム暗号モードでのブロックサイズ処理のバグを修正しました。(BZ#1274385)
OpenSCAP 1.2 は NIST 認定済み
Security Content Automation Protocol (SCAP)スキャナーである
OpenSCAP 1.2 は、米国国立標準技術研究所(NIST)によって、Red Hat Enterprise Linux 6 および 7 の米国政府が評価した設定および脆弱性スキャナーとして認定されています。OpenSCAP は、セキュリティー自動化のコンテンツを正しく分析および評価し、機密性の高いセキュリティー意識の高い環境で実行するために NIST が必要とする機能およびドキュメントを提供します。さらに、OpenSCAP は、Linux コンテナーを評価するための最初の NIST 認定設定スキャナーです。ユースケースには、PCI および DoD セキュリティー技術実装ガイド (STIG) に準拠するための Red Hat Enterprise Linux 7 ホストの設定の評価、および Red Hat Common Vulnerabilities and Exposures (CVE) データを使用した既知の脆弱性スキャンの実行が含まれます。(BZ#1363826)
libreswan がバージョン 3.20 にリベース
libreswan パッケージがアップストリームバージョン 3.20 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。主な機能強化は、次のとおりです。
- Opportunistic IPsec (Mesh Encryption) へのサポートが追加されました。これにより、すべてのホストで 1 つの単純な設定を使用して、多数のホストをカバーする IPsec デプロイメントが有効になりました。
- FIPS は更に強化されました。
- Virtual Tunnel Interface (VTI) を使用したルーティングベースの VPN のサポートが追加されました。
- root 以外の設定に対するサポートが改善されました。
- Online Certificate Status Protocol (OCSP) および Certificate Revocation Lists (CRL) へのサポートが改善されました。
- 新しい whack コマンドオプション( --fipsstatus、--fetchcrls、--globalstatus、および --shuntstatus )を追加しました。
- NAT Opportunistic Encryption (OE) Client Address Translation: leftcat=yes のサポートが追加されました。
- トラフィックフローの機密性メカニズムのサポートが追加されました: tfc=
- RFC 4307bis および RFC 7321bis に従って暗号設定を更新しました。
- 拡張シーケンス番号(ESN)のサポートを追加: esn=yes
- 再生ウィンドウの無効化と拡大のサポートを追加: replay-window=(BZ#1399883)
監査がセッション ID に基づくフィルターリングをサポート
今回の更新で、Linux Audit システムは、sessionid 値に基づいて監査メッセージをフィルターするユーザールールをサポートします。(BZ#1382504)
libseccomp が IBM Power アーキテクチャーに対応
今回の更新で、
libseccomp ライブラリーが IBM Power、64 ビット IBM Power、および 64 ビットのリトルエンディアンの IBM Power アーキテクチャーをサポートし、GNOME リベースが可能になりました。(BZ#1425007)
AUDIT_KERN_MODULE がモジュールロードを記録するようになりました。
AUDIT_KERN_MODULE 補助レコードが、init_module ()、finit_module ()、および delete _module () 関数の AUDIT_ SYSCALL レコードに追加されました。この情報は、audit_context 構造体に保存されます。(BZ#1382500)
OpenSSH が公開鍵署名に SHA-2 を使用するようになりました。
以前は、
OpenSSH は、RSA 鍵および DSA 鍵を使用した公開鍵署名に SHA-1 ハッシュアルゴリズムを使用していました。SHA-1 は安全とは見なされなくなり、新しい SSH プロトコル拡張機能により SHA-2 を使用できるようになりました。今回の更新で、公開鍵署名のデフォルトアルゴリズムが SHA-2 になりました。SHA-1 は、後方互換性の目的でのみ利用できます。(BZ#1322911)
firewalld が追加の IP セットに対応
firewalld サービスデーモンの更新により、以下の ipset タイプのサポートが追加されました。
- hash:ip,port
- hash:ip,port,ip
- hash:ip,port,net
- hash:ip,mark
- hash:net,net
- hash:net,port
- hash:net,port,net
- hash:net,iface
同時にソースと宛先の組み合わせを提供する以下の
ipset タイプは、firewalld のソースとしてサポートされていません。このタイプを使用した IP セットは firewalld によって作成されますが、使用は直接ルールに限定されます。
- hash:ip,port,ip
- hash:ip,port,net
- hash:net,net
- hash:net,port,net
ipset パッケージがアップストリームバージョン 6.29 にリベースされ、以下の
ipset タイプもサポートされるようになりました。
- hash:mac
- hash:net,port,net
- hash:net,net
- hash:ip,mark (BZ#1419058)
firewalld がリッチルールでの ICMP タイプに対するアクションに対応
今回の更新で、
firewalld サービスデーモンは、accept、log、および mark のアクションが含まれるリッチルールで Internet Control Message Protocol (ICMP)タイプを使用できるようになりました。(BZ#1409544)
firewalld が無効なヘルパー割り当てに対応
firewalld サービスデーモンの更新により、無効にされた自動ヘルパー割り当て機能がサポートされるようになりました。自動ヘルパー割り当てがオフになっている場合でも、ルールを追加せずに firewalld ヘルパーを使用できるようになりました。(BZ#1006225)
nss と nss-util がデフォルトで SHA-256 を使用
この更新により、NSS ライブラリーのデフォルト設定が変更され、デジタル署名を作成するときに強力なハッシュアルゴリズムが使用されるようになりました。RSA、EC、および 2048 ビット (またはそれ以上) の DSA 鍵では、SHA-256 アルゴリズムが使用されるようになりました。
監査フィルターの除外ルールに追加フィールドが含まれる
除外フィルターが強化され、
msgtype フィールドだけでなく、pid、uid、gid、uid、sessionID、および SELinux タイプが含まれるようになりました。PROCTITLE が監査イベントで完全なコマンドを提供するようになりました。
今回の更新で、Audit イベントに
PROCTITLE レコードが追加されました。PROCTITLE は、実行中の完全なコマンドを提供します。PROCTITLE 値はエンコードされるため、Audit イベントパーサーを回避できません。PROCTITLE 値は、ユーザー空間の日付で操作できるため、依然として信頼されていないことに注意してください。(BZ#1299527)
nss-softokn がバージョン 3.28.3 にリベース
nss-softokn パッケージがアップストリームバージョン 3.28.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- TLS (RFC 7905)、Internet Key Exchange Protocol (IKE)、および IPsec (RFC 7634) が使用する ChaCha20-Poly1305 (RFC 7539) アルゴリズムのサポートが追加されました。
- 鍵交換の目的で、Curve25519/X25519 カーブのサポートが追加されました。
- Extended Master Secret (RFC 7627) 拡張機能のサポートが追加されました。(BZ#1369055)
libica がバージョン 3.0.2 にリベース
libica パッケージがアップストリームバージョン 3.0.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正が提供されています。注目すべき追加項目は以下のとおりです。
- Federal Information Processing Standards (FIPS) モードのサポート
- 更新されたセキュリティー仕様 NIST SP 800-90A に準拠した Deterministic Random Bit Generator の生成を含む、疑似ランダム番号の生成サポートが強化されました。(BZ#1391558)
opencryptoki がバージョン 3.6.2 にリベース
opencryptoki パッケージがアップストリームバージョン 3.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
OpenSSL1.1 のサポートを追加- 非推奨の
OpenSSLインターフェイスを置き換えました。 - 非推奨の libica インターフェイスを置き換えました。
- IBM Crypto Accelerator (ICA) のパフォーマンスが改善されました。
icsfトークンのrc=8, reasoncode=2028エラーメッセージのサポートが追加されました。(BZ#1391559)
AUDIT_NETFILTER_PKT イベントが正規化される
AUDIT_NETFILTER_PKT 監査イベントが単純化され、メッセージフィールドが一貫した方法で表示されるようになりました。(BZ#1382494)
p11tool が、保存された ID を指定してオブジェクトの書き込みをサポートするようになりました
今回の更新で、
p11tool GnuTLS PKCS#11 ツールは、保存された ID を指定してオブジェクトを書き込む新しい --id オプションをサポートするようになりました。これにより、書き込まれたオブジェクトを p11tool よりも多くのアプリケーションでアドレス指定できます。(BZ#1399232)
新規パッケージ: nss-pem
この更新では、以前は nss パッケージの一部であった nss-pem パッケージが別のパッケージとして導入されています。nss-pem パッケージは、PKCS#11 モジュールとして実装された Network Security Services (NSS) 用の PEM ファイルリーダーを提供します。(BZ#1316546)
pmrfc3164 は、rsyslogの pmrfc3164sd を置き換えます
rsyslog パッケージの更新により、BSD
syslog プロトコル形式(RFC 3164)でログを解析するために使用される pmrfc3164sd モジュールが、公式の pmrfc3164 モジュールに置き換えられました。公式モジュールは pmrfc3164sd 機能を完全にカバーしていないため、rsyslog で引き続き利用できます。ただし、可能な限り新しい pmrfc3164 モジュールを使用することが推奨されます。pmrfc3164sd モジュールはサポートされなくなりました。(BZ#1431616)
libreswan が right=%opportunisticgroupをサポート
今回の更新で、Libreswan 設定の conn 部分の right オプションの %opportunisticgroup 値がサポートされるようになりました。これにより、X.509 認証を使用した日和見的 IPsec が可能になり、大規模な環境での管理オーバーヘッドが大幅に削減されます。(BZ#1324458)
ca-certificates が Mozilla Firefox 52.2 ESR の要件を満たす
Network Security Services (NSS) コードおよび認証局 (CA) リストが、最新の Mozilla Firefox Extended Support Release (ESR) で公開された推奨に合わせて更新されました。更新された CA リストにより、インターネット公開鍵インフラストラクチャー (PKI) で使用される証明書との互換性が改善されました。証明書の検証が拒否されないようにするため、Red Hat では、2017 年 6 月 12 日に更新された CA リストをインストールすることを推奨しています。(BZ#1444413)
nss が、証明書に関する Mozilla Firefox 52.2 ESR 要件を満たすようになりました。
認証局 (CA) の一覧が、最新の Mozilla Firefox Extended Support Release (ESR) で公開された推奨に合わせて更新されました。更新された CA リストにより、インターネット公開鍵インフラストラクチャー (PKI) で使用される証明書との互換性が改善されました。証明書の検証が拒否されないようにするため、Red Hat では、2017 年 6 月 12 日に更新された CA リストをインストールすることを推奨しています。(BZ#1444414)
scap-security-guide がバージョン 0.1.33 にリベース
scap-security-guide パッケージがアップストリームバージョン 0.1.33 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、この新しいバージョンでは、既存のコンプライアンスプロファイルが強化され、適用範囲が拡張されて、2 つの新しい設定ベースラインが追加されました。
- PCI-DSS v3 コントロールベースラインの拡張サポート
- 米国政府の Commercial Cloud Services (C2S) への拡張サポート
- 認定クラウドプロバイダー向け Red Hat コーポレートプロファイルへの拡張サポート
- Red Hat Enterprise Linux V1R1 プロファイルの米国国防情報システム局 (DISA) およびセキュリティー技術実装ガイド (STIG) に合わせて、Red Hat Enterprise Linux 7 プロファイルの DISA STIG へのサポートが追加されました。
- 非連邦情報システムおよび組織の非機密情報 (NIST 800-171) プロファイルのサポートが追加され、Red Hat Enterprise Linux 7 を管理対象非機密情報 (CUI) を保護するために特定された NIST Special Publication 800-53 コントロールに設定します。
- 米国政府共通設定基準 (USGCB/STIG) プロファイルへのサポートが追加されました。これは、米国立標準技術研究所 (NIST)、米国防総省、米国家安全保障局、および Red Hat とのパートナーシップで開発されました。
USGCB/STIG プロファイルは、以下のドキュメントにある設定要件を実装しています。
- 国家安全保障システム委員会指示 No. 1253 (CNSSI 1253)
- NIST 管理対象非機密情報 (NIST 800-171)
- NIST 800-53 中程度の影響を受けるシステムの選択の制御 (NIST 800-53)
- 米国政府共通設定基準 (USGCB)
- NIAP 汎用オペレーティングシステムのプロテクションプロファイル v4.0 (OSPP v4.0)
- DISA オペレーティングシステムセキュリティー要件ガイド (OS SRG)
以前に含まれていたいくつかのプロファイルが削除またはマージされていることに注意してください。(BZ#1410914)
