4.6. セキュリティー

Libreswan を 4.3 にリベース

libreswan パッケージがバージョン 4.3 にアップグレードされました。以前のバージョンに対する主な変更点は、以下のとおりです。

IPsec VPN が TCP トランスポートに対応

libreswan パッケージの更新では、RFC 8229 で説明されているように、TCP カプセル化の IPsec ベースの VPN サポートが追加されました。この追加により、ESP (Encapsulating Security Payload) および UDP を使用してトラフィックを防ぐネットワークで IPsec VPN を確立できます。その結果、管理者は、フォールバックまたはメインの VPN トランスポートプロトコルとして TCP を使用するように VPN サーバーおよびクライアントを設定できます。

Libreswan が、ラベル付き IPsec の IKEv2 に対応

Libreswan Internet Key Exchange (IKE) 実装には、IPsec のセキュリティーラベルの Internet Key Exchange version 2 (IKEv2) に対応するようになりました。今回の更新で、IKEv1 でセキュリティーラベルを使用するシステムが IKEv2 にアップグレードできるようになりました。

libpwquality が 1.4.4 にリベースされました。

libpwquality パッケージがバージョン 1.4.4 にリベースされました。本リリースには、バグ修正および機能強化が複数追加されました。たとえば、以下の設定オプションが pwquality.conf ファイルに追加されました。

p11-kit が 0.23.19 にリベースされました。

p11-kit パッケージが、バージョン 0.23.14 から 0.23.19 にアップグレードされました。新しいバージョンでは複数のバグが修正され、以下のようなさまざまな機能強化が提供されています。

pyOpenSSL が 19.0.0 にリベースされました。

pyOpenSSL パッケージが、アップストリームバージョン 19.0.0 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

SCAP セキュリティーガイドが 0.1.54 にリベースされました。

scap-security-guide パッケージがアップストリームバージョン 0.1.54 にリベースされ、バグ修正および改善が複数追加されました。以下に例を示します。

OpenSCAP が 1.3.4 にリベースされました。

OpenSCAP パッケージがアップストリームバージョン 1.3.4 にリベースされました。主な修正と機能強化は、以下のとおりです。

RHEL 8 STIG セキュリティープロファイルがバージョン V1R1 に更新されました。

RHBA-2021:1886 アドバイザリーリリースで、SCAP Security Guide の DISA STIG for Red Hat Enterprise Linux 8 プロファイルが、最新バージョンの V1R1 に更新されました。このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL 8 STIG (Security Technical Implementation Guide) のマニュアルベンチマークにより適切に調整されるようになりました。最初の反復により、STIG に関するカバレッジの約 60% が発生します。

Server with GUI インストールと互換性のある新しい DISA STIG プロファイル。

RHBA-2021:4098 アドバイザリーのリリースにより、新しいプロファイル DISA STIG with GUI が SCAP Security Guide に追加されました。プロファイルは DISA STIG プロファイルに由来し、Server with GUI パッケージグループを選択した RHEL インストールと互換性があります。DISA STIG ではグラフィカルユーザーインターフェイスをアンインストールする必要があるため、これまで存在した stig プロファイルは Server with GUI と互換性がありませんでした。ただし、評価中に Security Officer によって適切に文書化されている場合には、この設定を上書きできます。これにより、新しいプロファイルは、RHEL システムを DISA STIG プロファイルに準拠した Server with GUI としてインストールする際に役立ちます。

ANSSI-BP-028 Minimal、Intermediary、および Enhanced レベルのプロファイルが SCAP セキュリティーガイドで利用可能になりました。

新しいプロファイルを使用すると、最小、中間、および強化レベルの GNU/Linux システムの AMD National Security Agency (ANSSI) から推奨事項にシステムを強化できます。これにより、ANSSI Ansible Playbook および ANSSI SCAP プロファイルを使用し、必要な ANSSI 強化レベルに従って、RHEL 8 システムのコンプライアンスを設定および自動化できます。

sudo 権限で scap-workbench がリモートシステムをスキャンできるようになりました。

scap-workbench GUI ツールが、パスワードなしの sudo アクセスを使用したリモートシステムのスキャンをサポートするようになりました。この機能は、ルートの認証情報を指定することで課されるセキュリティーリスクを軽減します。

rhel8-tang コンテナーイメージが利用可能になりました。

今回のリリースにより、rhel8/rhel8-tang コンテナーイメージが registry.redhat.io カタログで利用可能になりました。このコンテナーイメージは、OpenShift Container Platform (OCP) クラスターまたは別の仮想マシンで実行する Clevis クライアントの Tang-server 復号化機能を提供します。

Clevis がバージョン 15 にリベースされました。

clevis パッケージがアップストリームバージョン 15 にリベースされました。このバージョンでは、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下の通りです。

Clevis が自動的に rd.neednet=1 を追加しなくなりました。

Clevis は、ホスト固有の設定オプションなしに汎用 initrd (initial ramdisk) を正しく生成するようになりました。その結果、Clevis は rd.neednet=1 パラメーターがカーネルコマンドラインに自動的に追加されなくなりました。

新しいパッケージ: rsyslog-udpspoof

rsyslog-udpspoof サブパッケージが RHEL 8 に戻されました。このモジュールは通常の UDP フォワーダーに似ていますが、syslog パケットのソース IP を維持しつつ、異なるネットワークセグメント間で syslog のリレーを許可します。

fapolicyd が 1.0.2 にリベースされました。

fapolicyd パッケージがアップストリームバージョン 1.0.2 にリベースされました。このバージョンでは、以前のバージョンに対するバグ修正および機能拡張が数多く追加されました。主な変更点は以下の通りです。

RPM トランザクション中の変更について、新しい RPM プラグインが fapolicyd に通知します。

rpm パッケージの今回の更新で、fapolicyd フレームワークと RPM データベースを統合する新しい RPM プラグインが導入されました。プラグインは、RPM トランザクション中にインストール済みおよび変更されたファイルについて fapolicyd に通知します。これにより、fapolicyd が整合性チェックに対応するようになりました。