7.10. セキュリティー
libreswan で SECCOMP の有効化が可能
テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。
pk12util で、RSA-PSS 鍵を使用した証明書のインポートが可能に
pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。
対応する秘密鍵をインポートして、RSA-PSS への署名アルゴリズムを制限する PrivateKeyInfo.privateKeyAlgorithm フィールドがある場合は、鍵をインポートするときに無視されることに注意してください。詳細は、MZBZ#1413596 を参照してください。
certutil で、RSA-PSS で署名した証明書のサポートが改善
certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。
-
--pssオプションのドキュメントが作成されている。 -
証明書で
RSA-PSSの使用が制限されている場合は、自己署名でPKCS#1 v1.5アルゴリズムが使用されなくなった。 -
subjectPublicKeyInfoフィールドの空のRSA-PSSパラメーターは、証明書のリストを表示する際に無効と表示されなくなった。 -
RSA-PSSアルゴリズムで署名された通常の RSA 証明書を作成する--pss-signオプションが追加された。
certutil で、RSA-PSS で署名した証明書のサポートがテクノロジープレビューとして利用できます。
NSS が、証明書の RSA-PSS 署名を確認可能
nss パッケージの RHEL 7.5 バージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。
この機能には、以下の制限があります。
-
/etc/pki/nss-legacy/rhel7.configファイルのアルゴリズムポリシー設定は、RSA-PSS署名で使用されるハッシュアルゴリズムに適用されます。 -
証明書チェーン間で
RSA-PSSパラメーター制約が無視され、証明書は 1 つだけ考慮されます。
USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。
USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。
ナレッジベースアーティクル Blocking USB devices while the screen is locked を参照してください。
(BZ#1480100)
