9.2. セキュリティー
OpenSC が CardOS V5.3 カードオブジェクトを正しく検出しない可能性がある
OpenSC ツールキットは、一部の CardOS V5.3 カードで使用されているさまざまな PKCS #15 ファイルオフセットからキャッシュを正しく読み取りません。その結果、OpenSC はカードオブジェクトをリストできず、別のアプリケーションからカードオブジェクトを使用できなくなる可能性があります。
この問題を回避するには、/etc/opensc.conf ファイルで use_file_caching = false オプションを設定してファイルキャッシュをオフにします。
sshd -T が、暗号、MAC、および KeX アルゴリズムに関する不正確な情報を提供する
sshd -T コマンドの出力には、システム全体の暗号化ポリシー設定や、/etc/sysconfig/sshd 内の環境ファイルから取得でき、sshd コマンドの引数として適用されるその他のオプションは含まれていません。これは、アップストリームの OpenSSH プロジェクトが RHEL8 で Red-Hat が提供する暗号化のデフォルトをサポートするための Include ディレクティブをサポートしていなかったために発生します。暗号化ポリシーは、EnvironmentFile を使用してサービスを開始するときに、sshd.service ユニットの sshd 実行可能ファイルにコマンドライン引数として適用されます。この問題を回避するには、sshd -T $CRYPTO_POLICY のように、環境ファイルで source コマンドを使用し、暗号化ポリシーを引数として sshd コマンドに渡します。詳細は、暗号、MAC、または KeX アルゴリズムが sshd -T とは異なり、現在の暗号ポリシーレベルで提供されるものとは異なるを参照してください。その結果、sshd -T からの出力は、現在設定されている暗号化ポリシーと一致します。
Bugzilla:2044354[1]
インストール中にシステムをハードニングすると、RHV ハイパーバイザーが正しく動作しない可能性がある
Red Hat Virtualization Hypervisor (RHV-H) をインストールし、Red Hat Enterprise Linux 8 STIG プロファイルを適用すると、OSCAP Anaconda アドオンによってシステムが RVH-H ではなく RHEL としてハードニングされ、RHV-H の必須パッケージが削除される可能性があります。その結果、RHV ハイパーバイザーが機能しない可能性があります。この問題を回避するには、プロファイルのハードニングを適用せずに RHV-H システムをインストールし、インストールが完了したら OpenSCAP を使用してプロファイルを適用します。その結果、RHV ハイパーバイザーは正しく動作します。
CVE OVAL フィードが圧縮形式のみになり、データストリームが SCAP 1.3 標準に準拠していない
Red Hat は、CVE OVAL フィードを bzip2 圧縮形式で提供しています。これらは XML ファイル形式では利用できなくなりました。圧縮されたコンテンツの参照は Security Content Automation Protocol (SCAP) 1.3 仕様で標準化されていないため、サードパーティーの SCAP スキャナーでは、フィードを使用するルールのスキャンで問題が発生する可能性があります。
特定の Rsyslog 優先度文字列が正しく機能しない
imtcp に GnuTLS 優先度文字列を設定して、完成していない暗号化をきめ細かく制御できるようになりました。そのため、次の優先度文字列は、Rsyslog リモートログアプリケーションでは正しく機能しません。
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL
この問題を回避するには、正しく機能する優先度文字列のみを使用します。
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL
したがって、現在の設定は、正しく機能する文字列に限定する必要があります。
CIS Server プロファイルを使用すると、Server with GUI および Workstation をインストールできない
CIS Server Level 1 および Level 2 のセキュリティープロファイルは、Server with GUI および Workstation ソフトウェアの選択と互換性がありません。そのため、Server with GUI ソフトウェアの選択と CIS プロファイルを使用して RHEL 8 をインストールすることはできません。CIS Server Level 1 または Level 2 プロファイルと、これらのソフトウェアの選択のいずれかを使用したインストール試行では、エラーメッセージが生成されます。
package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.
CIS ベンチマークに従ってシステムを Server with GUI または Workstation のソフトウェア選択に¥合わせる必要がある場合は、代わりに CIS Workstation Level 1 または Level 2 プロファイルを使用してください。
キックスタートインストール時のサービス関連ルールの修正が失敗する場合がある
キックスタートインストール時に、OpenSCAP ユーティリティーで、サービスの enable または disable 状態の修正は不要であると誤って表示されることがあります。その結果、OpenSCAP によって、インストール済みシステム上のサービスが非準拠状態に設定される可能性があります。回避策として、キックスタートインストール後にシステムをスキャンして修復できます。これにより、サービス関連の問題が修正されます。
RHEL 8 のキックスタートが、com_redhat_oscap の代わりに org_fedora_oscap を使用
キックスタートは、com_redhat_oscap ではなく、org_fedora_oscap として Open Security Content Automation Protocol (OSCAP) Anaconda アドオンを参照します。これが、混乱を招く可能性があります。これは、Red Hat Enterprise Linux 7 との互換性を維持するために必要です。
Bugzilla:1665082[1]
libvirt が xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwarding をオーバーライドする
libvirt 仮想化フレームワークは、route または nat の転送モードを持つ仮想ネットワークが起動するたびに、IPv4 転送を有効にします。これにより、xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwarding ルールによる設定がオーバーライドされ、後続のコンプライアンススキャンでは、このルールを評価するときに fail という結果が報告されます。
この問題を回避するには、次のいずれかのシナリオを適用します。
-
シナリオで必要がない場合は、
libvirtパッケージをアンインストールします。 -
libvirtによって作成された仮想ネットワークの転送モードを変更します。 -
プロファイルを調整して、
xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwardingルールを削除します。
fapolicyd ユーティリティーは、変更されたファイルの実行を誤って許可する
正しくは、ファイルの IMA ハッシュはファイルに変更が加えられた後に更新され、fapolicyd は変更されたファイルの実行を阻止する必要があります。ただし、IMA ポリシーのセットアップと evctml ユーティリティーによるファイルハッシュの違いにより、これは起こりません。その結果、変更されたファイルの拡張属性で IMA ハッシュは更新されません。その結果、fapolicyd は、変更されたファイルの実行を誤って許可します。
Jira:RHEL-520[1]
semanage fcontext コマンドはローカルの変更を並べ替える
semanage fcontext -l -C コマンドは、file_contexts.local ファイルに保存されているローカルファイルコンテキストの変更をリスト表示します。restorecon ユーティリティーは、file_contexts.local 内のエントリーを最も新しいエントリーから最も古いエントリーへと順番に処理します。ただし、semanage fcontext -l -C はエントリーを異なる順序でリストします。処理順序とリスト表示順序の不一致により、SELinux ルールの管理時に問題が発生する可能性があります。
Jira:RHEL-24461[1]
FIPS モードの OpenSSL が、特定の D-H パラメーターのみを受け入れます。
FIPS モードで、OpenSSL を使用する TLS クライアントが bad dh value エラーを返し、手動で生成されたパラメーターを使用するサーバーへの TLS 接続をキャンセルします。これは、FIPS 140-2 に準拠するよう設定されている場合、OpenSSL が NIST SP 800-56A rev3 付録 D (RFC 3526 で定義されたグループ 14、15、16、17、18、および RFC 7919 で定義されたグループ) に準拠した Diffie-Hellman パラメーターでのみ機能するためです。また、OpenSSL を使用するサーバーは、その他のパラメーターをすべて無視し、代わりに同様のサイズの既知のパラメーターを選択します。この問題を回避するには、準拠するグループのみを使用します。
Bugzilla:1810911[1]
crypto-policies が Camellia 暗号を誤って許可する。
RHEL 8 システム全体の暗号化ポリシーでは、製品ドキュメントで説明されているように、すべてのポリシーレベルで Camellia 暗号を無効にする必要があります。ただし、Kerberos プロトコルでは、デフォルトでこの Camellia 暗号が有効になります。
この問題を回避するには、NO-CAMELLIA サブポリシーを適用します。
# update-crypto-policies --set DEFAULT:NO-CAMELLIA
これまでに上記のコマンドで、DEFAULT から切り替えたことがある場合は、DEFAULT を暗号化レベルの名前に置き換えます。
その結果、この回避策を使用して Camellia 暗号を無効にしている場合に限り、システム全体の暗号化ポリシーを使用する全ポリシーで、この暗号化を適切に拒否できます。
OpenSC pkcs15-init によるスマートカードのプロビジョニングプロセスが適切に動作しない
file_caching オプションは、デフォルトの OpenSC 設定で有効になっているため、キャッシュ機能は pkcs15-init ツールから一部のコマンドを適切に処理しません。したがって、OpenSC を使用したスマートカードのプロビジョニングプロセスは失敗します。
この問題を回避するには、以下のスニペットを /etc/opensc.conf ファイルに追加します。
app pkcs15-init {
framework pkcs15 {
use_file_caching = false;
}
}
pkcs15-init を使用したスマートカードのプロビジョニングは、前述の回避策を適用している場合に限り機能します。
SHA-1 署名を使用するサーバーへの接続が GnuTLS で動作しない
証明書の SHA-1 署名は、GnuTLS セキュアな通信ライブラリーにより、セキュアでないものとして拒否されます。したがって、TLS のバックエンドとして GnuTLS を使用するアプリケーションは、このような証明書を提供するピアへの TLS 接続を確立することができません。この動作は、その他のシステム暗号化ライブラリーと一貫性がありません。
この問題を回避するには、サーバーをアップグレードして、SHA-256 または強力なハッシュを使用して署名した証明書を使用するか、LEGACY ポリシーに切り替えます。
Bugzilla:1628553[1]
libselinux-python は、そのモジュールからのみ利用可能
libselinux-python パッケージには、SELinux アプリケーション開発用の Python 2 バインディングのみが含まれ、後方互換性に使用されます。このため、yum install libselinux-python コマンドを使用すると、デフォルトの RHEL 8 リポジトリーで libselinux-python コマンドを利用できなくなりました。
この問題を回避するには、libselinux-python モジュールおよび python27 モジュールの両方を有効にし、以下のコマンドで libselinux-python パッケージとその依存関係をインストールします。
# yum module enable libselinux-python # yum install libselinux-python
または、1 つのコマンドでインストールプロファイルを使用して libselinux-python をインストールします。
# yum module install libselinux-python:2.8/common
これにより、特定のモジュールを使用して libselinux-python をインストールできます。
Bugzilla:1666328[1]
udica は、--env container=podman で開始したときにのみ UBI 8 コンテナーを処理します。
Red Hat Universal Base Image 8 (UBI 8) コンテナーは、podman の値ではなく、コンテナー 環境変数を oci 値に設定します。これにより、udica ツールがコンテナー JavaScript Object Notation (JSON) ファイルを分析しなくなります。
この問題を回避するには、--env container=podman パラメーターを指定して、podman コマンドで UBI 8 コンテナーを起動します。そのため、udica は、上記の回避策を使用している場合に限り、UBI 8 コンテナーの SELinux ポリシーを生成することができます。
デフォルトのロギング設定がパフォーマンスに与える悪影響
デフォルトのログ環境設定は、メモリーを 4 GB 以上使用する可能性があり、rsyslog で systemd-journald を実行している場合は、速度制限値の調整が複雑になります。
詳細は、ナレッジベースの記事 Negative effects of the RHEL default logging setup on performance and their mitigations を参照してください。
Jira:RHELPLAN-10431[1]
/etc/selinux/config の SELINUX=disabled が正常に動作しません。
/etc/selinux/config で SELINUX=disabled オプションを使用して SELinux を無効にすると、カーネルが SELinux を有効にして起動し、その後のブートプロセスで無効化モードに切り替わります。これにより、メモリーリークが生じる可能性があります。
この問題を回避するには、SELinux を完全に無効にする必要がある場合に SELinux の使用 の システムの起動時に SELinux モードの変更 で説明されているように、selinux=0 パラメーターをカーネルコマンドラインに追加して SELinux を無効にすることが推奨されます。
Jira:RHELPLAN-34199[1]
IKE over TCP 接続がカスタム TCP ポートで機能しない
tcp-remoteport Libreswan 設定オプションが適切に動作しません。したがって、デフォルト以外の TCP ポートを指定する必要があるシナリオでは、IKE over TCP 接続を確立することができません。
scap-security-guide がアイドルセッションの終了を設定できない
sshd_set_idle_timeout ルールはデータストリームにまだ存在しますが、sshd を設定するアイドルセッションタイムアウトの以前の方法は使用できなくなりました。したがって、ルールは applicable としてマークされるため、何も強化できません。systemd (Logind) など、アイドルセッションの終了を設定する他の方法も使用できません。そのため、scap-security-guide は、一定時間が経過した後にアイドルセッションを確実に切断するようにシステムを設定できません。
この問題は、次のいずれかの方法で回避できます。これにより、セキュリティー要件を満たせる可能性があります。
-
accounts_tmoutルールを設定します。ただし、この変数はexecコマンドを使用してオーバーライドできます。 -
configure_tmux_lock_after_timeルールとconfigure_bashrc_exec_tmuxルールを設定します。これには、tmuxパッケージをインストールする必要があります。 -
適切な SCAP ルールとともに
systemd機能がすでに実装されている RHEL 8.7 以降にアップグレードします。
OSCAP Anaconda アドオンは、グラフィカルインストールで調整されたプロファイルをフェッチしない
OSCAP Anaconda アドオンには、RHEL グラフィカルインストールでセキュリティープロファイルの調整を選択または選択解除するオプションがありません。RHEL 8.8 以降、アドオンはアーカイブまたは RPM パッケージからインストールするときにデフォルトで調整を考慮しません。その結果、インストールでは、OSCAP に合わせたプロファイルを取得する代わりに、次のエラーメッセージが表示されます。
There was an unexpected problem with the supplied content.
この問題を回避するには、キックスタートファイルの %addon org_fedora_oscap セクションにパスを指定する必要があります。次に例を示します。
xccdf-path = /usr/share/xml/scap/sc_tailoring/ds-combined.xml tailoring-path = /usr/share/xml/scap/sc_tailoring/tailoring-xccdf.xml
その結果、OSCAP 調整プロファイルのグラフィカルインストールは、対応するキックスタート仕様のみで使用できます。
OpenSCAP のメモリー消費の問題
メモリーが限られているシステムでは、OpenSCAP スキャナが途中で停止するか、結果ファイルが生成されない可能性があります。この問題を回避するには、スキャンプロファイルをカスタマイズして、/ ファイルシステム全体の再帰を含むルールの選択を解除します。
-
rpm_verify_hashes -
rpm_verify_permissions -
rpm_verify_ownership -
file_permissions_unauthorized_world_writable -
no_files_unowned_by_user -
dir_perms_world_writable_system_owned -
file_permissions_unauthorized_suid -
file_permissions_unauthorized_sgid -
file_permissions_ungroupowned -
dir_perms_world_writable_sticky_bits
詳細とその他の回避策は、関連する ナレッジベースの記事 を参照してください。
rpm データベースを再構築すると、間違った SELinux ラベルが割り当てられる
rpmdb --rebuilddb コマンドを使用して rpm データベースを再構築すると、誤った SELinux ラベルが rpm データベースファイルに割り当てられます。その結果、rpm データベースを使用する一部のサービスが正しく動作しない可能性があります。データベースの再構築後にこの問題を回避するには、restorecon -Rv /var/lib/rpm コマンドを使用してデータベースのラベルを再設定します。
Audit 用の ANSSI BP28 HP SCAP ルールが 64 ビット ARM アーキテクチャーで誤って使用される
SCAP セキュリティーガイド (SSG) の ANSSI BP28 High プロファイルには、Linux Audit サブシステムを設定する次の Security Content Automation Protocol (SCAP) ルールが含まれています。しかし、これらのルールは、64 ビット ARM アーキテクチャーでは無効です。
-
audit_rules_unsuccessful_file_modification_creat -
audit_rules_unsuccessful_file_modification_open -
audit_rules_file_deletion_events_rename -
audit_rules_file_deletion_events_rmdir -
audit_rules_file_deletion_events_unlink -
audit_rules_dac_modification_chmod -
audit_rules_dac_modification_chown -
audit_rules_dac_modification_lchown
このプロファイルを使用して 64 ビット ARM マシン上で実行される RHEL システムを設定すると、無効なシステムコールが使用されているため、Audit デーモンが起動しません。
この問題を回避するには、プロファイルの調整を使用して前述のルールをデータストリームから削除するか、/etc/audit/rules.d ディレクトリー内のファイルを編集して -S <syscall> スニペットを削除します。ファイルに次のシステムコールを含めることはできません。
- creat
- open
- rename
- rmdir
- unlink
- chmod
- chown
- lchown
上記の 2 つの回避策のいずれかを実行すると、64 ビット ARM システムで ANSSI BP28 High プロファイルを使用した後でも、Audit デーモンが起動できるようになります。
