6.3. セキュリティー

SELinux ポリシーに、ip vrf による仮想ルーティングを管理するためのルールが追加されました

ip vrf コマンドを使用して、他のネットワークサービスの仮想ルーティングを管理できます。以前は、selinux-policy にはこの用途をサポートするルールは含まれていませんでした。この更新により、SELinux ポリシールールによって、ip ドメインから httpd、sshd、および named ドメインへの明示的な遷移が可能になります。これらの遷移は、ip コマンドが setexeccon ライブラリー呼び出しを使用する場合に適用されます。

SELinux ポリシーにより、staff_r 制限ユーザーが sudo crontab を実行できるようになります。

以前は、SELinux ポリシーには、制限されたユーザーが sudo crontab コマンドを実行できるようにするルールは含まれていませんでした。その結果、staff_r ロールの制限されたユーザーは、sudo crontab を使用して他のユーザーの crontab スケジュールを編集することができませんでした。この更新により、ポリシーにルールが追加され、staff_r ユーザーは sudo crontab を使用して他のユーザーの crontab スケジュールを編集できるようになります。

SELinux ポリシーには追加のサービスとアプリケーションに関するルールが含まれています

selinux-policy パッケージのこのバージョンには追加のルールが含まれています。特に注目すべきは、sysadm_r ロールのユーザーは次のコマンドを入力できることです。

unconfined_login が off に設定されている場合、SELinux ポリシーは制限のないユーザーの SSH ログインを拒否します。

以前は、unconfined_login ブール値が off に設定されている場合に、制限のないユーザーが SSH 経由でログインすることを拒否するルールが SELinux ポリシーにありませんでした。その結果、unconfined_login が off に設定されている場合でも、ユーザーは SSHD を使用して制限のないドメインとしてログインできます。この更新により、SELinux ポリシーにルールが追加され、その結果、unconfined_login が off の場合、ユーザーは sshd 経由で制限なしでログインできなくなります。

rsyslogd による制限されたコマンドの入力が SELinux ポリシーで許可されるようになりました。

以前は、SELinux ポリシーに、rsyslogd デーモンが SELinux で制限されたコマンド (systemctl など) の入力を許可するルールがありませんでした。その結果、omprog ディレクティブの引数として実行されたコマンドは失敗しました。この更新により、SELinux ポリシーにルールが追加され、omprog の引数として実行される /usr/libexec/rsyslog ディレクトリー内の実行可能ファイルが syslogd_unconfined_script_t の制限のないドメインに含まれるようになります。その結果、omprog の引数として実行されたコマンドは正常に終了します。

大きな SSHD 設定ファイルによってログインが妨げられなくなる

以前は、SSHD 設定ファイルが 256 KB より大きいと、システムにログインするときにエラーが発生していました。その結果、リモートシステムにアクセスできなくなりました。この更新によりファイルサイズの制限が削除され、SSHD 設定ファイルが 256 KB より大きい場合でもユーザーはシステムにログインできるようになります。