第47章 セキュリティー
USBGuard
は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。
USBGuard
フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon
インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。
ナレッジベース記事
Blocking USB devices while the screen is locked
を参照してください: https://access.redhat.com/articles/3230621 (BZ#1480100)
pk12util
で、RSA-PSS
で署名した証明書のインポートが可能に
pk12util
ツールは、テクノロジープレビューとして、RSA-PSS
アルゴリズムを使用して署名する証明書をインポートするようになりました。
対応する秘密鍵をインポートして、
RSA-PSS
への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm
フィールドがある場合は、ブラウザーに鍵をインポートするときに無視されることに注意してください。詳細は、https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 を参照してください。(BZ#1431210)
certutil
で、RSA-PSS
で署名した証明書のサポートが改善
certutil
ツールの RSA-PSS
アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
- --pss オプションのドキュメントが作成されている。
- 証明書で
RSA-PSS
の使用が制限されている場合は、自己署名でPKCS#1 v1.5
アルゴリズムが使用されなくなった。 subjectPublicKeyInfo
フィールドの空のRSA-PSS
パラメーターは、証明書の一覧を表示する際に無効と表示されなくなった。- RSA-PSS アルゴリズムで署名された通常の RSA 証明書を作成する
--pss-sign
オプションが追加された。
NSS
が、証明書の RSA-PSS
署名を確認可能
新しいバージョンの nss パッケージでは、
Network Security Services
(NSS) ライブラリーが、証明書の RSA-PSS
署名の確認がテクノロジープレビューとして提供されるようになりました。この更新では、SSL
バックエンドとして NSS
を使用するクライアントが、RSA-PSS
アルゴリズムで署名した証明書のみを提供するサーバーへの TLS
接続が確立できません。
この機能には、以下の制限があります。
/etc/pki/nss-legacy/rhel7.config
ファイルのアルゴリズムポリシー設定は、RSA-PSS
署名で使用されるハッシュアルゴリズムに適用されます。- 証明書チェーン間で
RSA-PSS
パラメーター制約が無視され、証明書は 1 つだけ考慮されます。(BZ#1432142)
libreswan で SECCOMP の有効化が可能
テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが
ipsec.conf
設定ファイルに追加されました。これにより、Libreswan
を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5)
を参照してください。(BZ#1375750)