7.4. Security
明示的に信頼される場合、GnuTLS は SHA-1 で署名された CA を拒否しなくなりました。
以前は、CA が明示的に信頼できる場合でも、GnuTLS ライブラリーはすべての認証局 (CA) の署名ハッシュの強度をチェックしていました。そのため、SHA-1 アルゴリズムで署名された CA を含むチェーンは、エラーメッセージ certificate's signature hash strength is unacceptable と共に拒否されました。今回の更新で、GnuTLS は署名ハッシュの強度チェックから信頼される CA を除外するため、弱いアルゴリズムを使用して署名されている CA を含む証明書チェーンでも拒否しなくなりました。
FIPS モードでハードウェア最適化が有効
これまでの Federal Information Processing Standard(FIPS 140-2) では、ハードウェアの最適化を使用することは認められていませんでした。そのため、FIPS モードの場合、libgcrypt パッケージではこの操作が無効になっていました。今回の更新により、FIPS モードでのハードウェアの最適化が可能になり、その結果、すべての暗号処理が高速に実行されるようになりました。
leftikeport オプションおよび rightikeport オプションが正しく機能する
以前は、Libreswan は、ホスト間の Libreswan 接続では leftikeport オプションと rightikeport オプションを無視していました。これにより、Libreswam は、デフォルト以外のオプション設定にかかわらず、デフォルトのポートを使用していました。今回の更新で問題が修正され、デフォルトオプションの leftikeport および rightikeport 接続オプションを使用できるようになりました。
SELinux ポリシーにより GDM が GRUB boot_success フラグを設定できなかった
以前は、SELinux ポリシーにより、パワーオフおよび再起動操作時に、GNOME Display Manager(GDM) は GRUB boot_success フラグを設定できませんでした。その結果、GRUB メニューが次回の起動時に表示されました。今回の更新で、SELinux ポリシーで、GDM が GRUB boot_success フラグを設定できる新しい xdm_exec_bootloader ブール値 (デフォルトで有効) が導入されました。これにより、初回ブートで GRUB ブートメニューが表示され、フリッカーのない起動をサポートする機能が正しく機能するようになりました。
selinux-policy は、TCP カプセル化を使用した IPsec ベースの VPN をサポートします。
RHEL 8.4 以降、libreswan パッケージは、TCP カプセル化を使用した IPsec ベースの VPN に対応していましたが、selinux-policy パッケージはこの更新を反映しませんでした。その結果、Libreswan が TCP を使用するように設定されている場合、ipsec サービスは指定の TCP ポートにバインドできませんでした。今回の selinux-policy パッケージの更新により、ipsec サービスが一般的に使用されている TCP ポート 4500 にバインドして接続できるようになったため、IPsec ベースの VPN で TCP カプセル化を使用できるようになりました。
SELinux ポリシーが staff_u ユーザーの unconfined_r への切り替えを防止するようになりました。
以前のバージョンでは、secure_mode ブール値を有効にすると、staff_u ユーザーが誤って unconfined ロールに切り替えることができました。これにより、staff_u ユーザーは、システムのセキュリティーに影響する特権操作を実行できました。今回の修正により、SELinux ポリシーにより、staff_u ユーザーが newrole コマンドを使用して unconfined_r ロールに切り替えられなくなりました。したがって、特権のないユーザーは特権操作を実行できません。
OSCAP Anaconda Addon がカスタマイズされたプロファイルを処理
以前は、OSCAP Anaconda Addon プラグインは、個別のファイルでカスタマイズしたセキュリティープロファイルを正しく処理しませんでした。したがって、対応する Kickstart セクションで指定した場合でも、カスタマイズしたプロファイルは RHEL グラフィカルインストールで利用できませんでした。処理が修正され、RHEL グラフィカルインストールでカスタマイズした SCAP プロファイルを使用できるようになりました。
(BZ#1691305)
STIG プロファイルおよびその他の SCAP コンテンツの評価中に OpenSCAP が失敗しなくなりました。
以前は、OpenSCAP の暗号ライブラリーの初期化は、OpenSCAP で適切に実行されませんでした (特に filehash58 プローブ)。その結果、filehash58_test Open Vulnerability Assessment Language(OVAL) テストを含む SCAP コンテンツの評価中にセグメンテーション違反が発生しました。これは、Red Hat Enterprise Linux 8 用の STIG プロファイルの評価に影響を及ぼしました。評価は予期せず失敗し、結果が生成されませんでした。openscap パッケージの新しいバージョンで、ライブラリーを初期化するプロセスが修正されました。その結果、RHEL 8 用の STIG プロファイル、および filehash58_test OVAL テストを含むその他の SCAP コンテンツの評価時に、OpenSCAP が失敗しなくなりました。
Ansible は必要な場合にのみバナーファイルを更新します
以前のバージョンでは、バナー修復に使用する Playbook は常にファイルを削除し、再作成していました。そのため、バナーファイルの inode はその必要がなくても常に変更されていました。今回の更新により、Ansible 修復 Playbook が改善され、copy モジュールを使用して、既存のコンテンツを目的のコンテンツと比較し、必要な場合にのみファイルを更新するようになりました。その結果、既存のコンテンツが目的のコンテンツとは異なる場合にのみ、バナーファイルは更新されます。
USB デバイスが DISA STIG プロファイルで正常に動作するようになりました。
以前は、DISA STIG プロファイルが USBGuard サービスを有効にしましたが、初期接続された USB デバイスを設定していませんでした。したがって、USBGuard サービスは、特に許可されていないデバイスをすべてブロックしていました。これにより、スマートカードなどの一部の USB デバイスが到達不能になっていました。今回の更新で、DISA STIG プロファイルの適用時に初期 USBGuard 設定が生成され、接続された USB デバイスを使用できるようになりました。その結果、USB デバイスがブロックされず、正常に機能します。
OSCAP Anaconda Addon が選択されたすべてのパッケージをテキストモードでインストール
以前は、OSCAP Anaconda Addon プラグインは、テキストモードで実行している際インストールの開始前に、特定のパーティションレイアウトまたはパッケージのインストールと削除が必要なルールを評価しませんでした。そのため、キックスタートを使用してセキュリティーポリシープロファイルが指定され、インストールがテキストモードで実行されている場合は、選択したセキュリティープロファイルに必要な追加パッケージがインストールされませんでした。OSCAP Anaconda Addon は、インストールがグラフィカルまたはテキストベースであるかに関係なく、インストールの開始前に必要なチェックを実行するようになり、選択したすべてのパッケージもテキストモードでインストールされます。
rpm_verify_permissions が CIS プロファイルから削除
ファイルパーミッションとパッケージのデフォルトパーミッションを比較する rpm_verify_permissions ルールは、Center for Internet Security (CIS) Red Hat Enterprise Linux 8 Benchmark から削除されました。今回の更新で、CIS プロファイルが CIS RHEL 8 ベンチマークと整合し、その結果、このルールは CIS に応じてシステムを強化するユーザーに影響を与えなくなりました。
