第14章 セキュリティー
LUKS で暗号化されたリムーバブルストレージデバイスは、NBDE を使用して自動的にロック解除できるようになりました
この更新により、clevis パッケージと clevis_udisks2 サブパッケージにより、ユーザーはリムーバブルボリュームをネットワークバインドディスク暗号化 (NBDE) ポリシーにバインドできるようになります。LUKS で暗号化されたリムーバブルストレージデバイス (USB ドライブなど) のロックを自動的に解除するには、clevis luks binding および clevis luks unlimited コマンドを使用します。(BZ#1475408)
new package: clevis-systemd
Clevis プラグ可能なフレームワークのこの更新では、管理者がブート時に LUKS で暗号化された非ルートボリュームの自動ロック解除を設定できるようにする clevis-systemd サブパッケージが導入されています。(BZ#1475406)
OpenSCAP をAnsible ワークフローに統合できるようになりました
今回の更新により、
OpenSCAP スキャナーは、プロファイルまたはスキャン結果に基づいて、Ansible Playbook の形式で修復スクリプトを生成できるようになりました。SCAP セキュリティーガイドプロファイルに基づく Playbook にはすべてのルールの修正が含まれ、スキャン結果に基づく Playbook には、評価中に失敗したルールの修正のみが含まれます。ユーザーは、調整されたプロファイルから Playbook を生成したり、Playbook 内の値を編集して直接カスタマイズしたりすることもできます。ルール ID、ストラテジー、複雑さ、中断、参照などのタグは、Playbook 内のタスクのメタデータとして使用され、どのタスクを適用するかをフィルターするロールを果たします。(BZ#1404429)
SECCOMP_FILTER_FLAG_TSYNC は、 呼び出しプロセススレッドの同期を有効にします。
この更新では、
SECCOMP_FILTER_FLAG_TSYNC フラグが導入されました。新しいフィルターを追加するとき、このフラグは呼び出しプロセスの他のすべてのスレッドを同じ seccomp フィルターツリーに同期します。詳細は、seccomp(2) の man ページを参照してください。
アプリケーションが複数の
libseccomp または seccomp-bpf フィルターをインストールする場合は、許可されるシステムコールのリストに seccomp() システムコールを追加する必要があることに注意してください。(BZ#1458278)
nss がバージョン 3.34 にリベース
nss パッケージがアップストリームバージョン 3.34 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は、以下のとおりです。
- TLS 圧縮はサポートされなくなりました。
- TLS サーバーコードは、RSA キーを使用しないセッションチケットをサポートするようになりました。
- 証明書は、PKCS#11 URI を使用して指定できます。
RSA-PSS暗号署名スキームが、証明書の署名の署名と検証に使用できるようになりました。(BZ#1457789)
mod_ssl で SSLv3 が無効になっています
SSL/TLS 接続のセキュリティーを向上させるために、
httpd mod_ssl モジュールのデフォルト設定が変更され、SSLv3 プロトコルのサポートが無効になり、特定の暗号スイートの使用が制限されました。この変更は mod_ssl パッケージの新規インストールにのみ影響するため、既存のユーザーは必要に応じて SSL 設定を手動で変更する必要があります。
SSLv3 を使用するか、DES または RC4 に基づく暗号スイートを使用して接続を確立しようとする SSL クライアントは、新しいデフォルト設定では拒否されます。このような安全でない接続を許可するには、/etc/httpd/conf.d/ssl.conf ファイル内の SSLProtocol および SSLCipherSuite ディレクティブを変更します。(BZ#1274890)
Libreswan が IKEv2 の分割 DNS 設定をサポートするようになりました
libreswan パッケージのこの更新では、leftmodecfgdns= および leftcfgdomains= オプションを介して、インターネットキーエクスチェンジバージョン 2 (IKEv2) プロトコルの分割 DNS 設定のサポートが導入されています。これにより、ユーザーは、特定のプライベートドメインの DNS 転送を使用して、ローカルで実行されている DNS サーバーを再設定できるようになります。(BZ#1300763)
libreswan が ESP 用の AES-GMAC をサポートするようになりました
この更新により、phase2alg=null_auth_aes_gmac オプションを介した IPsec カプセル化セキュリティーペイロード (ESP) 内の Advanced Encryption Standard (AES) ガロアメッセージ認証コード (GMAC) のサポートが libreswan パッケージに追加されました。(BZ#1475434)
openssl-ibmca が 1.4.0 にリベースされました
openssl-ibmca パッケージがアップストリームバージョン 1.4.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- Advanced Encryption Standard Galois/Counter Mode (AES-GCM) のサポートが追加されました。
- FIPS モードで動作する
OpenSSLの修正が組み込まれました。(BZ#1456516)
opencryptoki が 3.7.0 にリベースされました。
opencryptoki パッケージがアップストリームバージョン 3.7.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- ライセンスを Common Public License バージョン 1.0 (CPL) にアップグレードしました。
- Enterprise PKCS #11 (EP11) および Common Cryptographic Architecture (CCA) の SHA-2 サポートを備えた ECDSA を追加しました。
- ミューテックスロックからトランザクションメモリー (TM) に移行することでパフォーマンスが向上しました。(BZ#1456520)
configuration_compliance を使用した atomic scan により、ビルド時にセキュリティーに準拠したコンテナーイメージを作成できるようになります
rhel7/openscap コンテナーイメージは、configuration_compliance スキャンタイプを提供するようになりました。この新しいスキャンタイプを atomic scan コマンドの引数として使用すると、ユーザーは次のことが可能になります。
- Red Hat Enterprise Linux ベースのコンテナーイメージおよびコンテナーを、SCAP セキュリティーガイド (SSG) によって提供されるプロファイルに対してスキャンします。
- Red Hat Enterprise Linux ベースのコンテナーイメージを修復して、SSG が提供するプロファイルに準拠するようにします。
- スキャンまたは修復から HTML レポートを生成します。
修復の結果、設定が変更されたコンテナーイメージが作成され、元のコンテナーイメージの上に新しいレイヤーとして追加されます。
元のコンテナーイメージは変更されず、新しいレイヤーがその上に作成されるだけである点に注意してください。修復プロセスでは、すべての設定の改善を含む新しいコンテナーイメージが構築されます。この層の内容は、スキャンのセキュリティーポリシーによって定義されます。これは、修復されたコンテナーイメージが Red Hat によって署名されなくなったことも意味します。これは想定内であり、修復されたレイヤーが含まれているという点で、元のコンテナーイメージとは異なることが原因となっています。(BZ#1472499)
tang-nagios により、Nagios が Tang を監視できるようになります
tang-nagios サブパッケージは、
Tang の Nagios プラグインを提供します。このプラグインにより、Nagios プログラムが Tang サーバーを監視できるようになります。サブパッケージはオプションチャネルで入手できます。詳細については、tang-nagios(1) の man ページを参照してください。(BZ#1478895)
clevis は、特権操作をログに記録するようになりました
この更新により、clevis-udisks2 サブパッケージは試行されたすべてのキー回復を監査ログに記録し、Linux 監査システムを使用して特権操作を追跡できるようになりました。(BZ#1478888)
アプリケーションでのメモリーリークを防ぐために、PK11_CreateManagedGenericObject() が NSS に追加されました
PK11_DestroyGenericObject() 関数は、PK11_CreateGenericObject() によって割り当てられたオブジェクトを適切に破棄しませんが、一部のアプリケーションは、オブジェクトの使用後に存続するオブジェクトを作成する関数に依存しています。このため、ネットワークセキュリティーサービス (NSS) ライブラリーには PK11_CreateManagedGenericObject() 関数が含まれるようになりました。PK11_CreateManagedGenericObject() を使用してオブジェクトを作成する場合、PK11_DestroyGenericObject() 関数は、基礎となる関連オブジェクトも適切に破棄します。curl ユーティリティーなどのアプリケーションは、PK11_CreateManagedGenericObject() を使用してメモリーリークを防止できるようになりました。(BZ#1395803)
OpenSSH が openssl-ibmca および openssl-ibmpkcs11 HSM をサポートするようになりました
この更新により、
OpenSSH スイートは openssl-ibmca および openssl-ibmpkcs11 パッケージによって処理されるハードウェアセキュリティーモジュール (HSM) を有効にします。これ以前は、OpenSSH seccomp フィルターにより、これらのカードが OpenSSH 権限分離で動作することが妨げられていました。seccomp フィルターが更新され、IBM Z 上の暗号化カードに必要なシステムコールが許可されるようになりました。(BZ#1478035)
cgroup_seclabel により、cgroups でのきめ細かいアクセス制御が可能になります
この更新では、ユーザーがコントロールグループ (cgroup) ファイルにラベルを設定できるようにする
cgroup_seclabel ポリシー機能が導入されました。この追加が行われる前は、cgroup ファイルシステムのラベル付けは不可能であり、コンテナー内で systemd サービスマネージャーを実行するには、cgroup ファイルシステム上のすべてのコンテンツに対する読み取りおよび書き込み権限を許可する必要がありました。cgroup_seclabel ポリシー機能により、cgroup ファイルシステムでのきめ細かいアクセス制御が可能になります。(BZ#1494179)
ブートプロセスで、ネットワークに接続された暗号化デバイスのロックを解除できるようになりました
以前は、ブートプロセスは、ネットワークサービスを開始する前に、ネットワークによって接続されているブロックデバイスのロックを解除しようとしていました。ネットワークがアクティブ化されていなかったため、これらのデバイスに接続して復号化することができませんでした。
この更新により、
remote-cryptsetup.target ユニットとその他のパッチが systemd パッケージに追加されました。その結果、システム起動時にネットワーク接続されている暗号化されたブロックデバイスのロックを解除し、そのようなブロックデバイスにファイルシステムをマウントできるようになりました。
システム起動時にサービス間で正しい順序を確保するには、
/etc/crypttab 設定ファイル内の _netdev オプションを使用してネットワークデバイスをマークする必要があります。
この機能の一般的な使用例は、ネットワークバインドディスク暗号化と併用することです。ネットワークバインドディスク暗号化の詳細については、Red Hat Enterprise Linux セキュリティーガイドの次の章を参照してください。
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/7/html/security_guide/sec-using_network-bound_disk_encryption (BZ# 1384014)
SELinux が InfiniBand オブジェクトのラベル付けをサポートするようになりました
このリリースでは、カーネル、ポリシー、
semanage ツールの機能強化を含め、InfiniBand エンドポートと P_Key ラベル付けに対する SELinux サポートが導入されています。InfiniBand 関連のラベルを管理するには、次のコマンドを使用します。
libica が 3.2.0 にリベースされました
libica パッケージはアップストリームバージョン 3.2.0 にアップグレードされ、最も注目すべき点は、Enhanced SIMD 命令セットのサポートが追加されたことです。(BZ#1376836)
SELinux で systemd の No New Privileges に対応
今回の更新で、新旧のコンテキスト間で
nnp_nosuid_transition が許可されている場合に、No New Privileges (NNP) または nosuid で SELinux ドメインの移行を可能にする nnp_nosuid_transition ポリシー機能が追加されました。selinux-policy パッケージに、NNP セキュリティー機能を使用する systemd サービスのポリシーが含まれるようになりました。
次のルールでは、サービスにこの機能を許可しています。
allow source_domain target_type:process2 { nnp_transition nosuid_transition };
以下に例を示します。
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
ディストリビューションポリシーには、m4 マクロインターフェイスも含まれています。これは、
init_nnp_daemon_domain() 関数を使用するサービスの SELinux セキュリティーポリシーで使用できます。(BZ#1480518)
libreswan がバージョン 3.23 にリベース
libreswan パッケージがアップストリームバージョン 3.23 にアップグレードされ、以前のバージョンに比べて多くのバグ修正、速度向上、機能拡張が提供されています。主な変更点は、以下のとおりです。
- dnssec-enable=yes|no、dnssec-rootkey-file=、および dnssec-anchors= オプションによる拡張 DNS Security Extensions (DNSSEC) スイートのサポート。
- ppk=yes|no|insist オプションによるポスト量子事前共有キー (PPK) の実験的サポート。
- RSA-SHA の署名認証 (RFC 7427) のサポート。
- 新しい logip= オプションをデフォルト値
yesで使用すると、受信 IP アドレスのログを無効にすることができます。これは、プライバシーを懸念する大規模なサービスプロバイダーにとって役立ちます。 - アンバインド DNS サーバーの ipsecmod module は、DNS の
IPSECKEYレコードを使用した Opportunistic IPsec をサポートします。 - decap-dscp=yes オプションによる Differentiated Services Code Point (DSCP) アーキテクチャーのサポート。DSCP は、以前は利用規約 (TOS) として知られていました。
- nopmtudisc=yes オプションによる Path MTU Discovery (PMTUD) の無効化のサポート。
- マルチドメインデプロイメントを改善するための IDr (識別 - レスポンダー) ペイロードのサポート。
- 非常にビジーなサーバー上で IKE パケットを再送信すると、
EAGAINエラーメッセージが返されます。 - カスタマイズのためのアップダウンスクリプトのさまざまな改善。
- RFC 8221 および RFC 8247 に従って暗号化アルゴリズムの設定を更新しました。
- updown スクリプトを無効にするための
%noneおよび/dev/null値を leftupdown= オプションに追加しました。 - CREATE_CHILD_SA エクスチェンジを使用したキー再生成のサポートが改善されました。
- IKEv1 XAUTH スレッドの競合状態が解決されました。
- 最適化された pthread ロックにより、パフォーマンスが大幅に向上しました。
詳細は、man ページの
ipsec.conf を参照してください。(BZ#1457904)
libreswan が IKEv2 MOBIKE をサポートするようになりました
この更新では、mobike=yes|no オプションによる XFRM_MIGRATE メカニズムを使用した IKEv2 Mobility and Multihoming (MOBIKE) プロトコル (RFC 4555) のサポートが導入されています。MOBIKE を使用すると、IPsec トンネルを妨げることなく、Wi-Fi、LTE などのネットワークをシームレスに切り替えることができます。(BZ#1471763)
scap-workbench がバージョン 1.1.6 にリベースされました
scap-workbench パッケージがバージョン 1.1.6 にアップグレードされ、以前のバージョンに対して多数のバグ修正と拡張が行われました。注目すべき変更点は次のとおりです。
- プロファイルからの Bash および Ansible 修復ロールの生成とスキャン結果のサポートが追加されました。生成された修復は、後で使用できるようにファイルに保存できます。
- コマンドラインから直接調整ファイルを開くためのサポートが追加されました。
- 32,768 を超える SSH ポート番号を使用する場合の短整数のオーバーフローを修正しました。(BZ#1479036)
OpenSCAP が DISA STIG Viewer の結果を生成できるようになりました
OpenSCAP スイートは、DISA STIG Viewer ツールと互換性のある形式で結果を生成できるようになりました。これにより、ユーザーはローカルシステムをスキャンして国防情報システム庁セキュリティー技術実装ガイド (DISA STIG) に準拠しているかどうかを確認し、結果を DISA STIG Viewer で開くことができます。(BZ#1505517)
selinux-policy に は許可ドメインが含まれなくなりました
セキュリティー強化策として、
SELinux ポリシーはデフォルトで次のドメインを許可モードに設定しなくなりました。
- blkmapd_t
- hsqldb_t
- ipmievd_t
- sanlk_resetd_t
- systemd_hwdb_t
- targetd_t
これらのドメインのデフォルトモードは強制に設定されるようになりました。(BZ#1494172)
audit がバージョン 2.8.1 にリベース
audit パッケージはアップストリームバージョン 2.8.1 にアップグレードされました。これにより、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されます。注目すべき変更点は次のとおりです。
- アンビエント機能フィールドのサポートが追加されました。
Auditデーモンは IPv6 でも動作するようになりました。- デフォルトのポートを
auditd.confファイルに追加しました。 - Access Vector Cache (AVC) メッセージをレポートするための
auvirtツールを修正しました。(BZ#1476406)
OpenSC が SCE7.0 144KDI CAC Alt. トークンをサポートするようになりました。
この更新では、SCE7.0 144KDI Common Access Card (CAC) 代替トークンのサポートが追加されています。これらの新しいカードは、以前の米国のカードに準拠していませんでした。CAC PIV エンドポイント仕様に関する国防総省 (DoD) 実装ガイド、および、
OpenSC ドライバーが更新された仕様を反映するために更新されました。(BZ#1473418)
