6.5. セキュリティー

再帰的な依存関係による OpenSCAP のクラッシュを回避

systemd ユニットには依存ユニットを含めることができるため、OpenSCAP スキャンで循環依存関係が発生し、その結果、スキャンが予期せずに終了することがありました。今回の更新で、以前分析されたユニットは OpenSCAP で分析されなくなりました。そのため、循環依存関係の場合も、スキャンが有効な結果で完了するようになりました。

OpenSCAP スキャナー結果に多数の SELinux コンテキストエラーメッセージが含まれなくなりました

以前は、OpenSCAP スキャナーは、SELinux コンテキストを取得できない場合、本当のエラーではない状況であっても、ERROR レベルでそれを記録していました。そのため、スキャナー結果には多数の SELinux コンテキストエラーメッセージが含まれ、oscap コマンドラインユーティリティーと SCAP Workbench グラフィカルユーティリティー両方の出力を読み取ることが困難でした。openscap パッケージが修正され、スキャナー結果に多数の SELinux コンテキストエラーメッセージが含まれることがなくなりました。

audit_rules_privileged_commands が特権コマンドに対して正常に機能するようになりました

scap-security-guide パッケージの audit_rules_privileged_commands ルールの修正は、コマンド名の解析における特別なケースに対応していませんでした。また、特定のルールの順序付けにより、正常な修正が妨げられていました。そのため、ルールの特定の組み合わせが修正されたことが報告されていましたが、連続するスキャンでは、ルールが再度失敗として報告されていました。今回の更新で、ルール内の正規表現とルールの順序付けが改善されました。その結果、修正後に、特権コマンドはすべて適切に監査されます。

SCAP セキュリティーガイドでルールの説明が更新されました

対応しているすべての RHEL バージョンで、デフォルトのカーネルパラメーターを確実に判断することはできないため、カーネルパラメーターの設定を確認する際は、常に明示的な設定が必要となります。設定ガイドのテキストには、デフォルトのバージョンが準拠している場合は明示的な設定が不要であるという誤った記述がありました。今回の更新で、scap-security-guide パッケージのルールの記述に、コンプライアンス評価と対応する修正が正しく記載されるようになりました。

configure_firewalld_rate_limiting によって接続を正しくレート制限

サービス拒否 (DoS) 攻撃からシステムを保護する configure_firewalld_rate_limiting ルールは、以前は全トラフィックを受け入れるようにシステムを設定していました。今回の更新で、このルールが修正され、システムで接続が正しく速度制限されるようになりました。

dconf_gnome_login_banner_text が誤って失敗することがなくなりました

以前のバージョンでは、scap-security-guide パッケージの dconf_gnome_login_banner_text ルールの修正は、設定のスキャンが失敗した後に失敗していました。そのため、予想した結果と一致しないログインバナー設定が修正によって適切に更新されませんでした。今回の更新で、Bash および Ansible の修正の信頼性が向上し、OVAL 標準を使用して実装された設定チェックと連携するようになりました。その結果、修正が適切に機能するようになり、修正後にルールが失敗することがなくなりました。

scap-security-guide Ansible 修復から follow 引数を除外

この更新の前は、scap-security-guide の Ansible 修復の replace モジュールに follow 引数が含まれる場合がありました。follow は Ansible 2.5 で非推奨となり、Ansible 2.10 で削除されるので、このような修正を使用するとエラーが生じました。RHBA-2021:1383 アドバイザリーリリースでは、この引数が削除されました。その結果、scap-security-guide による Ansible Playbook は Ansible 2.10 で適切に機能します。

Postfix 固有のルールが postfix がインストールされていない場合にも失敗しなくなる

以前は、SCAP Security Guide (SSG)は、システムにインストールされている postfix パッケージとは別に Postfix 固有のルールを評価していました。その結果、SSG は、notapplicable ではなく、Postfix 固有のルールを fail として報告しました。RHBA-2021:4781 アドバイザリーのリリースでは、SSG は postfix パッケージがインストールされている場合にのみ Postfix 固有のルールを正しく評価し、postfix パッケージがインストールされていない場合には notapplicable と報告します。

サービスの無効化ルールがあいまいではなくなる

以前のリリースでは、SCAP Security Guide の Service Disabled タイプのルールの説明では、サービスを無効にしてマスクするオプションが提供されていましたが、ユーザーがサービスを無効にするか、マスクするか、またはその両方を行うかは指定されていませんでした。

scap-security-guide GNOME dconf ルールの Ansible 修復を修正

以前のリリースでは、GNOME dconf 設定システムに対応するルールの Ansible 修復は、該当する OVAL チェックと整合性が取れていませんでした。その結果、Ansible は以下のルールを誤って修正し、後続のスキャンで 失敗 としてマークしていました。

応答しない PMDA の PCP による再起動が SELinux によって阻止されなくなりました

以前のリリースでは、pcp_pmie_t プロセスが Performance Metric Domain Agent (PMDA) と通信できるようにするルールが SELinux ポリシーにありませんでした。そのため、応答しない PMDA を再起動する pmsignal プロセスが SELinux によって拒否されました。今回の更新で、不足していたルールがポリシーに追加され、Performance Co-Pilot (PCP) が応答しない PMDA を再起動できるようになりました。

auditd によるシステムの停止や電源オフが SELinux によって阻止されなくなりました

以前のバージョンでは、SELinux ポリシーに、Audit デーモンが power_unit_file_t systemd ユニットを起動できるようにするルールがありませんでした。したがって、Logging ディスクパーティションに領域が残っていない場合などに auditd がシステムの停止や電源オフを行うことができるように設定されていても、これを行うことができませんでした。

chronyd サービスが SELinux でシェルを実行できるように

以前のリリースでは、 chronyd_t で実行中の chronyd プロセスでは、SELinux ポリシーで chronyd によるシェルの実行を拒否していたため、chrony-helper のシェルスクリプトを実行できませんでした。今回の更新では、SELinux ポリシーで、chronyd プロセスが shell_exec_t のラベルが付いたシェルの実行を許可するようになりました。そのため、chronyd サービスは、Multi-Level Security (MLS) ポリシーで正常に起動します。

Tang のキャッシュの確実な更新

Tang アプリケーションで鍵が生成されると (初回インストール時に) Tang ではそのキャッシュが更新されます。以前のバージョンでは、このプロセスは信頼できず、Tang 鍵を反映するようにアプリケーションキャッシュが正しく更新されていませんでした。このため、clevis で Tang ピンを使用する際に問題が生じ、クライアントに Key derivation key not available というエラーメッセージが表示されていました。今回の更新で、鍵の生成およびキャッシュ更新ロジックが Tang に移動され、依存関係を監視するファイルが削除されました。その結果、キャッシュの更新後もアプリケーションキャッシュは正しい状態のままになります。