第48章 セキュリティー
USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。
USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。
ナレッジベース記事
Blocking USB devices while the screen is locked を参照してください: https://access.redhat.com/articles/3230621 (BZ#1480100)
pk12util で、RSA-PSS で署名した証明書のインポートが可能に
pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。
対応する秘密鍵をインポートして、
RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は、ブラウザーに鍵をインポートするときに無視されることに注意してください。詳細は、https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。(BZ#1431210)
certutil で、RSA-PSS で署名した証明書のサポートが改善
certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
- --pss オプションのドキュメントが作成されている。
- 証明書で
RSA-PSSの使用が制限されている場合は、自己署名でPKCS#1 v1.5アルゴリズムが使用されなくなった。 subjectPublicKeyInfoフィールドの空のRSA-PSSパラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。- RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する
--pss-signオプションが追加された。
NSS が、証明書の RSA-PSS 署名を確認可能
新しいバージョンの nss パッケージでは、
Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認がテクノロジープレビューとして提供されるようになりました。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。
この機能には、以下の制限があります。
/etc/pki/nss-legacy/rhel7.configファイルのアルゴリズムポリシー設定は、RSA-PSS署名で使用されるハッシュアルゴリズムに適用されます。- 証明書チェーン間で
RSA-PSSパラメーター制約が無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)
libreswan で SECCOMP の有効化が可能
テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが
ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。(BZ#1375750)
