8.7. セキュリティー
Libreswan が、すべての設定において seccomp=enabled で正常に動作しません。
Libreswan SECCOMP サポート実装で許可された syscall のセットは現在、完全ではありません。したがって、SECCOMP が ipsec.conf ファイルで有効となっている場合、syscall のフィルタリングは、pluto デーモンの正常な機能に必要な syscall まで拒否します。つまり、デーモンは強制終了され、ipsec サービスが再起動されます。
この問題を回避するには、seccomp= オプションを設定して、disabled 状態に戻します。SECCOMP サポートは、ipsec を正常に実行するため、無効のままにしておく必要があります。
RSA-PSS に対応していない PKCS#11 デバイスは、TLS 1.3 では使用できません。
TLS プロトコルバージョン 1.3 には RSA-PSS 署名が必要ですが、ハードウェアセキュリティーモジュール(HSM)やスマートカードなどのすべての PKCS#11 デバイスでは対応していません。現在、NSS を使用するサーバーアプリケーションは、TLS 1.3 をネゴシエートする前に PKCS#11 モジュール機能を確認しません。これにより、RSA-PSS に対応していない PKCS#11 デバイスを使用した認証に失敗します。この問題を回避するには、代わりに TLS 1.2 を使用します。
TLS 1.3 は、FIPS モードの NSS で動作しません。
TLS 1.3 は、FIPS モードで動作しているシステムでは対応していません。その結果、相互運用性に TLS 1.3 を必要とする接続が、FIPS モードで動作しているシステムで機能しません。
その接続を有効にするには、システムの FIPS モードを無効にするか、ピアで TLS 1.2 のサポートを有効にします。
(BZ#1710372)
OpenSCAP がリモートファイルシステムに誤ってアクセス
OpenSCAP スキャナーは、スキャンされたファイルシステムがマウントされたリモートファイルシステムかローカルファイルシステムであるかどうかを正しく検出できず、検出部分に他のバグも含まれます。そのため、スキャナーは、評価されたルールがローカルファイルシステムにのみ適用され、リモートファイルシステムで不要なトラフィックが生成される可能性がある場合でも、マウントされたリモートファイルシステムを読み取ります。
この問題を回避するには、スキャン前にリモートファイルシステムをアンマウントします。もう 1 つのオプションは、テーラリングファイルを指定して、評価されたプロファイルから影響を受けるルールを除外することです。
