4.6. セキュリティー
Libreswan を 4.3 にリベース
libreswan パッケージがバージョン 4.3 にアップグレードされました。以前のバージョンに対する主な変更点は、以下のとおりです。
- TCP サポート上の IKE および ESP (RFC 8229)
- IKEv2 ラベル付き IPsec サポート
- IKEv2 leftikeport/rightikeport のサポート
- 中間エクスチェンジの実験的サポート
- 負荷分散における拡張リダイレクトサポート
- 相互運用性を強化するために、デフォルトの IKE ライフタイムが 1 h から 8 h に変更
-
ipsec.secretsファイルのRSAセクションが必要なくなりました。 - Windows 10 の再起動を修正しました。
- ECDSA 認証用の証明書送信を修正しました。
- MOBIKE および NAT-T の修正
IPsec VPN が TCP トランスポートに対応
libreswan パッケージの更新では、RFC 8229 で説明されているように、TCP カプセル化の IPsec ベースの VPN サポートが追加されました。この追加により、ESP (Encapsulating Security Payload) および UDP を使用してトラフィックを防ぐネットワークで IPsec VPN を確立できます。その結果、管理者は、フォールバックまたはメインの VPN トランスポートプロトコルとして TCP を使用するように VPN サーバーおよびクライアントを設定できます。
(BZ#1372050)
Libreswan が、ラベル付き IPsec の IKEv2 に対応
Libreswan Internet Key Exchange (IKE) 実装には、IPsec のセキュリティーラベルの Internet Key Exchange version 2 (IKEv2) に対応するようになりました。今回の更新で、IKEv1 でセキュリティーラベルを使用するシステムが IKEv2 にアップグレードできるようになりました。
(BZ#1025061)
libpwquality が 1.4.4 にリベースされました。
libpwquality パッケージがバージョン 1.4.4 にリベースされました。本リリースには、バグ修正および機能強化が複数追加されました。たとえば、以下の設定オプションが pwquality.conf ファイルに追加されました。
-
retry -
enforce_for_root -
local_users_only
p11-kit が 0.23.19 にリベースされました。
p11-kit パッケージが、バージョン 0.23.14 から 0.23.19 にアップグレードされました。新しいバージョンでは複数のバグが修正され、以下のようなさまざまな機能強化が提供されています。
- CVE-2020-29361、CVE-2020-29362、CVE-2020-29363 セキュリティー問題の修正
-
p11-kitが meson ビルドシステムによるビルドをサポートするようになりました。
(BZ#1887853)
pyOpenSSL が 19.0.0 にリベースされました。
pyOpenSSL パッケージが、アップストリームバージョン 19.0.0 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。
-
opensslバージョン 1.1.1 での TLS 1.3 サポートが改善されました。 -
X509Store.add_certで重複した証明書を追加しようとしてもエラーが発生することがなくなりました。 - コンポーネントに NUL バイトを含む X509 証明書の処理が改善されました。
(BZ#1629914)
SCAP セキュリティーガイドが 0.1.54 にリベースされました。
scap-security-guide パッケージがアップストリームバージョン 0.1.54 にリベースされ、バグ修正および改善が複数追加されました。以下に例を示します。
- Operating System Protection Profile (OSPP) は、Red Hat Enterprise Linux 8.4 の Protection Profile for General Purpose Operating Systems に従って更新されました。
- フランス語の ANSSI(National Security Agency) の ANSSI BP-028 の推奨事項に基づくプロファイルの ANSSI ファミリーが導入されました。コンテンツには、最小、中間、および強化レベルのルールを実装するプロファイルが含まれます。
- セキュリティー技術実装ガイド (STIG) セキュリティープロファイルが更新され、最近リリースされたバージョン V1R1 からルールが実装されました。
OpenSCAP が 1.3.4 にリベースされました。
OpenSCAP パッケージがアップストリームバージョン 1.3.4 にリベースされました。主な修正と機能強化は、以下のとおりです。
- 大量のファイルを持つシステムのメモリー不足を引き起こしていた特定のメモリーの問題が修正されました。
- OpenSCAP が、GPFS をリモートファイルシステムとして処理するようになりました。
- 定義間の循環依存関係のある OVAL の適切な処理。
-
yamlfilecontentを向上:yaml-filterが更新され、スキーマおよびプローブを拡張し、マップ内の値のセットで機能できるようになりました。 - 多数の警告 (GCC および Clang) が修正されました。
- 数多くのメモリー管理の修正。
- 数多くのメモリーリークの修正。
- XCCDF ファイルのプラットフォーム要素は、XCCDF 仕様に従って適切に解決されるようになりました。
- uClibc との互換性が向上しました。
- ローカルおよびリモートのファイルシステムの検出方法が改善されました。
-
キャッシュを手動で開くのではなく、
pkgCacheFileを使用するようにdpkginfoプローブが修正されました。 - OpenSCAP スキャンレポートは、有効な HTML5 ドキュメントになりました。
- ファイルプローブの不要な再帰を修正しました。
RHEL 8 STIG セキュリティープロファイルがバージョン V1R1 に更新されました。
RHBA-2021:1886 アドバイザリーリリースで、SCAP Security Guide の DISA STIG for Red Hat Enterprise Linux 8 プロファイルが、最新バージョンの V1R1 に更新されました。このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL 8 STIG (Security Technical Implementation Guide) のマニュアルベンチマークにより適切に調整されるようになりました。最初の反復により、STIG に関するカバレッジの約 60% が発生します。
ドラフトプロファイルが有効でなくなったため、このプロファイルの現行バージョンのみを使用する必要があります。
自動修正によりシステムが機能しなくなる場合があります。テスト環境で修復を最初に実行します。
Server with GUI インストールと互換性のある新しい DISA STIG プロファイル。
RHBA-2021:4098 アドバイザリーのリリースにより、新しいプロファイル DISA STIG with GUI が SCAP Security Guide に追加されました。プロファイルは DISA STIG プロファイルに由来し、Server with GUI パッケージグループを選択した RHEL インストールと互換性があります。DISA STIG ではグラフィカルユーザーインターフェイスをアンインストールする必要があるため、これまで存在した stig プロファイルは Server with GUI と互換性がありませんでした。ただし、評価中に Security Officer によって適切に文書化されている場合には、この設定を上書きできます。これにより、新しいプロファイルは、RHEL システムを DISA STIG プロファイルに準拠した Server with GUI としてインストールする際に役立ちます。
ANSSI-BP-028 Minimal、Intermediary、および Enhanced レベルのプロファイルが SCAP セキュリティーガイドで利用可能になりました。
新しいプロファイルを使用すると、最小、中間、および強化レベルの GNU/Linux システムの AMD National Security Agency (ANSSI) から推奨事項にシステムを強化できます。これにより、ANSSI Ansible Playbook および ANSSI SCAP プロファイルを使用し、必要な ANSSI 強化レベルに従って、RHEL 8 システムのコンプライアンスを設定および自動化できます。
sudo 権限で scap-workbench がリモートシステムをスキャンできるようになりました。
scap-workbench GUI ツールが、パスワードなしの sudo アクセスを使用したリモートシステムのスキャンをサポートするようになりました。この機能は、ルートの認証情報を指定することで課されるセキュリティーリスクを軽減します。
パスワードなしの sudo アクセスと remediate オプションを指定して scap-workbench を使用する場合は、細心の注意を払ってください。Red Hat は、OpenSCAP スキャナーのみに適切にセキュアなユーザーアカウントを割り当てることを推奨します。
rhel8-tang コンテナーイメージが利用可能になりました。
今回のリリースにより、rhel8/rhel8-tang コンテナーイメージが registry.redhat.io カタログで利用可能になりました。このコンテナーイメージは、OpenShift Container Platform (OCP) クラスターまたは別の仮想マシンで実行する Clevis クライアントの Tang-server 復号化機能を提供します。
(BZ#1913310)
Clevis がバージョン 15 にリベースされました。
clevis パッケージがアップストリームバージョン 15 にリベースされました。このバージョンでは、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下の通りです。
-
Clevis は汎用 initramfs を生成し、カーネルコマンドラインに
rd.neednet=1パラメーターを自動的に追加しなくなりました。 -
clevis は、
sssピンを使用する間違った設定を適切に処理し、clevis encrypt sssサブコマンドはエラーの原因を示す出力を返すようになりました。
Clevis が自動的に rd.neednet=1 を追加しなくなりました。
Clevis は、ホスト固有の設定オプションなしに汎用 initrd (initial ramdisk) を正しく生成するようになりました。その結果、Clevis は rd.neednet=1 パラメーターがカーネルコマンドラインに自動的に追加されなくなりました。
設定が以前の機能を使用する場合は、--hostonly-cmdline 引数を指定して dracut コマンドを入力するか、/etc/dracut.conf.d に clevis.conf ファイルを作成し、hostonly_cmdline=yes オプションをファイルに追加します。initrd ビルドプロセス中に Tang バインディングが存在する必要があります。
新しいパッケージ: rsyslog-udpspoof
rsyslog-udpspoof サブパッケージが RHEL 8 に戻されました。このモジュールは通常の UDP フォワーダーに似ていますが、syslog パケットのソース IP を維持しつつ、異なるネットワークセグメント間で syslog のリレーを許可します。
fapolicyd が 1.0.2 にリベースされました。
fapolicyd パッケージがアップストリームバージョン 1.0.2 にリベースされました。このバージョンでは、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下の通りです。
以下を使用して
integrityチェックを有効にする整合性設定オプションを追加しました。- ファイルサイズの比較
- SHA-256 ハッシュの比較
- Integrity Measurement Architecture (IMA) サブシステム
-
fapolicydRPM プラグインは、YUM パッケージマネージャーまたは RPM Package Manager のいずれかで処理されるシステム更新をすべて登録するようになりました。 - ルールに GID をサブジェクトに含むことができるようになりました。
-
デバッグメッセージおよび
syslogメッセージにルール番号を追加できるようになりました。
RPM トランザクション中の変更について、新しい RPM プラグインが fapolicyd に通知します。
rpm パッケージの今回の更新で、fapolicyd フレームワークと RPM データベースを統合する新しい RPM プラグインが導入されました。プラグインは、RPM トランザクション中にインストール済みおよび変更されたファイルについて fapolicyd に通知します。これにより、fapolicyd が整合性チェックに対応するようになりました。
機能は YUM トランザクションに制限されず、RPM の変更点も対応しているため、RPM プラグインは YUM プラグインに代わることに注意してください。
