第16章 セキュリティー
Clevis が TPM 2.0 に対応しました。
この更新により、
Clevis のポリシーベース復号化 (PBD) 用プラグ可能フレームワークは、Trusted Platform Module 2.0 (TPM 2.0) チップを使用して暗号化するクライアントもサポートします。詳細と、可能な設定プロパティーのリストは、man ページの clevis-encrypt-tpm2(1) を参照してください。
この機能は、64 ビット Intel または 64 ビット AMD アーキテクチャーのシステムでのみ使用できることに注意してください。(BZ#1472435)
gnutls が 3.3.29 にリベース
GNU Transport Layer Security (GnuTLS) ライブラリーがアップストリームバージョン 3.3.29 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されています。主な変更点は、以下のとおりです。
- ハードウェアセキュリティーモジュール (HSM) の PKCS#11 暗号化トークンインターフェイスが改善されました。
p11toolでの DSA サポートが追加され、特定の Atos HSM でのキーインポートが修正されました。 - TLS Cipher Block Chaining (CBC) レコードパディングの対抗策が改善されました。以前の対策には特定の問題があり、攻撃者が CPU キャッシュにアクセスして選択平文攻撃 (CPA) を実行した場合には不十分でした。
- 従来の
HMAC-SHA384暗号スイートをデフォルトで無効にしました。(BZ#1561481)
OpenSSL を使用した AES-GCM 操作が IBM z14 で高速になりました
この更新では、IBM z14 システムで利用可能な新しい CP Assist for Cryptographic Functions (CPACF) 命令による暗号化操作のさらなる高速化のサポートが導入されています。その結果、
OpenSSL ライブラリーを使用した AES-GCM 操作は、IBM z14 以降のハードウェアでより高速に実行されるようになりました。(BZ#1519396)
sudo がバージョン 1.8.23 にリベースされました
sudo パッケージがアップストリームバージョン 1.8.23 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。
- 新しい
cvtsudoersユーティリティーは、sudoers2ldif スクリプトと visudo -x 機能の両方を置き換えます。sudoers または LDIF 形式でファイルを読み取り、JSON、LDIF、または sudoers 出力を生成できます。生成された出力ファイルをユーザー、グループ、またはホスト名でフィルタリングすることもできます。 - always_query_group_plugin オプションがデフォルトの
/etc/sudoersファイルに明示的に設定されるようになりました。以前のバージョンからアップグレードし、古いグループクエリー動作を保持したいユーザーは、アップグレード後にこの設定が有効になっていることを確認する必要があります。 - PAM アカウント管理モジュールは、パスワードが必要でない場合でも実行されるようになりました。
- 新しい case_insensitive_user および case_insensitive_group sudoers オプションを使用すると、sudo は、
sudoersでユーザーとグループの大文字と小文字を区別して一致させるかどうかを制御できます。大文字と小文字を区別しない一致がデフォルトになりました。 - コマンドラインで
runasユーザーを空の文字列として指定すると、エラーが発生するようになりました。以前は、空のrunasユーザーは、指定されていないrunasユーザーと同じように扱われました。 sudoersで iolog_user または iolog_group オプションが設定されていない限り、I/O ログファイルはデフォルトでグループID 0で作成されるようになりました。- env_delete リストから
*=()*パターンを削除することで、env_resetsudoers設定が無効になっている環境で bash シェル関数を保持できるようになりました。(BZ#1547974)
usbguard がバージョン 0.7.48 にリベース
usbguard パッケージが、アップストリームバージョン 0.7.4. にリベースされました。このバージョンでは、以前のバージョンに対して多くのバグ修正と機能強化が行われています。特に次のような点が挙げられます。
usbguard-daemonは、ログファイルまたは監査イベントファイルを開くことができない場合にエラーで終了するようになりました。- 現在のデバイス列挙アルゴリズムの信頼性が向上しました。列挙タイムアウトによって
usbguard-daemonプロセスが終了することはなくなりました。 - usbguard watch コマンドには、受信したイベントごとに実行可能ファイルを実行する -e オプションが含まれるようになりました。イベントデータは、環境変数を通じて実行可能ファイルに渡されます。(BZ#1508878)
audit が 2.8.4 にリベースされました。
audit パッケージはアップストリームバージョン 2.8.4 にアップグレードされました。これにより、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されます。主な変更点は、以下のとおりです。
- 内部状態のダンプのサポートが追加されました。これで、service Auditd state コマンドを実行して、
Auditデーモンに関する情報を確認できるようになりました。 rpmおよびyumツールによって生成されるSOFTWARE_UPDATEイベントのサポートが追加されました。- リモートロギングの起動中に無制限の再試行が許可されます。これは、クライアントの起動時に集約サーバーが実行されていない場合でも起動するのに役立ちます。
- IPv6 リモートロギングが改善されました。(BZ#1559032)
RPM が監査イベントを提供するようになりました
この更新により、
RPM Package Manager (RPM) は監査イベントを提供します。ソフトウェアパッケージがインストールまたは更新されたという情報は、Linux Audit システムによるシステム分析にとって重要です。RPM は、root ユーザーによってパッケージがインストールまたはアップグレードされるたびに、SOFTWARE_UPDATE 監査イベントを作成するようになりました。(BZ#1555326)
SELinux は、extended_socket_class をサポートするようになりました
この更新では、
extended_socket_class ポリシー機能が導入され、多数の新しい SELinux オブジェクトクラスが既知のネットワークソケットアドレスファミリーをすべてサポートできるようになります。また、以前は rawip_socket クラスにマップされていた、インターネット制御メッセージプロトコル (ICMP) ソケットとストリーム制御伝送プロトコル (SCTP) ソケットに個別のセキュリティークラスを使用できるようになります。(BZ#1564775、BZ#1427553)
selinux-policy は mmap() が使用されるときにファイルのアクセス許可をチェックするようになりました
このリリースでは、
mmap() システムコールに新しい権限チェックが導入されています。mmap() での個別のマップ許可チェックの目的は、すべてのアクセスが再検証されることを保証する必要がある特定のファイルのメモリーマッピングを禁止するポリシーを許可することです。これは、たとえば、クロスドメインソリューションやデータコピーのない保証されたパイプラインなど、状態の変更を反映するために実行時にファイルのラベルが変更されることが予想されるシナリオに役立ちます。
この機能はデフォルトで有効になっています。また、新しい SELinux ブール値、
domain_can_mmap_files が追加されました。Domain_can_mmap_files が有効な場合、すべてのドメインはすべてのファイル、キャラクタデバイスまたはブロックデバイスで mmap() を使用できます。domain_can_mmap_files が無効になっている場合、mmap() を使用できるドメインのリストは制限されます。(BZ#1460322)
RHEL7 DISA STIG プロファイルが STIG バージョン 1、リリース 4 と一致するようになりました。
SCAP セキュリティーガイド プロジェクトの今回の更新により、RHEL7 国防情報システム局 (DISA) セキュリティー技術導入ガイド (STIG) プロファイルが STIG バージョン 1、リリース 4 に準拠しました。特定のルールには自動チェックや修正が含まれていないことに注意してください。(BZ#1443551)
Libreswan は PKCS #7 形式の X.509 証明書をサポートするようになりました
この更新により、
Libreswan Virtual Private Network アプリケーションは PKCS #7 形式の X.509 証明書もサポートします。これにより、Microsoft Windows を実行しているシステムとの相互運用性が可能になります。(BZ#1536404)
libreswan がバージョン 3.25 にリベース
libreswan パッケージがアップストリームバージョン 3.25 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
以前は、pfs=no オプションで Perfect Forward Secrecy を禁止し、ESP/AH PFS
modp グループ (例: esp=aes-sha2;modp2048) を設定する誤った設定により、modp 設定がロードされ無視されることに注意してください。この更新により、これらの接続は、ESP DH algorithm MODP2048 is invalid as PFS policy is disabled エラーメッセージが表示されて、読み込みに失敗します。(BZ#1591817)
openssl-ibmca がバージョン 2.0.0 にリベースされました。
openssl-ibmca パッケージがアップストリームバージョン 2.0.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
- 楕円曲線暗号 (ECC) 機能がサポートされるようになりました。
- さまざまな
OpenSSLバージョンとの互換性が向上しました。
z/VM 6.4 システムで共有 CEX4C アダプターで ECC 機能を使用するには、Authorized Program Analysis Report (APAR) VM65942 が必要であることに注意してください。(BZ#1519395)
sudo は認証が必要ない場合でも PAM スタックを実行するようになりました
この更新により、ポリシーで NOPASSWD オプションが設定されている場合でも、
sudo ユーティリティーはプラグ可能認証モジュール (PAM) アカウント管理モジュールを実行します。これにより、認証フェーズの外で PAM モジュールによって課された制限をチェックできるようになります。その結果、pam_time などの PAM モジュールが、説明されているシナリオで適切に動作するようになりました。(BZ#1533964)
cvtsudoers は異なる sudoers 形式間で変換します
新しい
cvtsudoers ユーティリティーを使用すると、管理者は異なる sudoers セキュリティーポリシーファイル形式間でルールを変換できます。利用可能なオプションのリストと使用例については、cvtsudoers(1) の man ページを参照してください。(BZ#1548380)
SCAP セキュリティーガイドが OSPP v4.2 をサポートするようになりました
scap-security-guide パッケージのこの更新では、OSPP (汎用オペレーティングシステム保護プロファイル) v4.2 のコア要件を定義する新しいプロファイルが導入されています。新しいプロファイル ID は
ospp42 で、以前にリリースされたプロファイル USGCB (米国政府共通設定基準) OSPP v4.0 は ID ospp で利用できます。(BZ#1619689)
selinux-policy には 5 つの追加の SELinux ブール値が含まれるようになりました
selinux-policy パッケージのこの更新では、次の SELinux ブール値が導入されています。
keepalived_connect_any-keepalivedサービスが任意のポートに接続できるようにします。tomcat_use_execmem-Tomcatサーバーがそのスタックを実行可能にすることを許可します。tomcat_can_network_connect_db-TomcatがPosgtreSQLポートに接続できるようにします。redis_enable_notify-redis-sentinelサービスが通知スクリプトを実行できるようにします。
