4.6. Security
libreswan を 4.4 にリベース
libreswan パッケージがアップストリームバージョン 4.4 にアップグレードされ、多くの機能強化とバグ修正が行われました。以下に例を示します。
IKEv2 プロトコル:
-
トランスポートモードおよびホスト間接続での TCP カプセル化に関する修正を導入しました。 -
リダイレクトの統計情報を表示する
ipsec whackコマンドに、--globalstatusオプションを追加しました。 -
ipsec.conf設定ファイルのvhostおよびvnetの値は、IKEv2 接続では使用できなくなりました。
-
plutoIKE デーモン:- 非標準の IKE ポートを使用するホスト間接続の修正を導入しました。
-
最適な初期接続を選択するために、ピア ID(
IKEv2 IDrまたはIKEv1 Aggr) を追加しました。 -
Libreswan が対応する機能をまだ提供していないため、
interface-ip=オプションを無効にしました。 -
トランスポートモードの NAT に対するipsec__updownスクリプトのPLUTO_PEER_CLIENT変数を修正しました。 -
PLUTO_CONNECTION_TYPE変数をtransportまたはtunnelに設定します。 - テンプレート化されないワイルドカード ID の接続がマッチするようになりました。
(BZ#1958968)
gnutls が 3.6.16 にリベース
gnutls パッケージがバージョン 3.6.16 に更新されました。主なバグ修正と機能拡張は、以下のとおりです。
-
gnutls_x509_crt_export2()関数は、成功した場合に、内部の base64 ブロブのサイズの代わりに 0 を返すようになりました。これは、gnutls_x509_crt_export2(3)man ページのドキュメントと一致しています。 -
OCSP(Online Certificate Status Protocol) の must-stapling に従わないことによる証明書検証の失敗に、
GNUTLS_CERT_INVALIDフラグが正しく付くようになりました。 -
これまでは、
-VERS-TLS1.2オプションで TLS 1.2 を明示的に無効にしても、TLS 1.3 が有効な場合にサーバーが TLS 1.2 を提供していました。バージョンネゴシエーションが修正され、TLS 1.2 を正しく無効にできるようになりました。
(BZ#1956783)
socat が 1.7.4 にリベースされました。
socat パッケージがバージョン 1.7.3 から 1.7.4 にアップグレードされ、バグ修正および改善点が数多く追加されました。以下に例を示します。
-
GOPENおよびUNIX-CLIENTアドレスがSEQPACKETソケットに対応するようになりました。 -
アドレスのリッスンまたは許可の場合、汎用
setsockopt-intおよび関連オプションは、接続されたソケットに適用されます。リスニングソケットで設定オプションを有効にするために、setsockopt-listenオプションが利用できるようになりました。 -
ファイルに転送されたデータのローダーンプの
-rオプションおよび-Rオプションを追加。 -
ip-transparentオプションとIP_TRANSPARENTソケットオプションを追加。 -
OPENSSL-CONNECTは SNI 機能を自動的に使用し、openssl-no-sniオプションが SNI をオフにするようになりました。openssl-snihostオプションは、openssl-commonnameオプションまたはサーバー名の値を上書きします。 -
accept-timeoutオプションおよびlisten-timeoutオプションが追加されました。 -
ip-add-source-membershipオプションが追加されました。 -
UDP-DATAGRAMアドレスは、1.7.3 で行っていた応答のピアポートの確認を行わなくなりました。シナリオに以前の動作が必要な場合は、sourceportオプションを使用します。 -
新しい
proxy-authorization-fileオプションは、ファイルからPROXY-CONNECT認証情報を読み取り、プロセステーブルからこのデータを非表示にできるようにします。 -
VSOCK-CONNECTおよびVSOCK-LISTENアドレスのAF_VSOCKサポートが追加されました。
crypto-policies が 20210617 にリベースされました。
crypto-policies パッケージがアップストリームバージョン 20210617 にアップグレードされ、以前のバージョンに対するバグ修正や機能強化が数多く追加されました。主な変更点は以下のとおりです。
スコープ指定されたポリシーを使用して、異なるバックエンドに対して、異なるアルゴリズムセットを有効化できるようになりました。各設定ディレクティブは、特定のプロトコル、ライブラリー、またはサービスに制限できるようになりました。利用可能なスコープの全リストと新しい構文の詳細は、
crypto-policies(7)の man ページを参照してください。たとえば、以下のディレクティブは、libsshライブラリーと OpenSSH スイートの両方に対して、SSH プロトコルでの AES-256-CBC 暗号の使用を許可します。cipher@SSH = AES-256-CBC+
ディレクティブで、ワイルドカードを使用して複数の値を指定するアスタリスクを使用できるようになりました。たとえば、以下のディレクティブは、
libsshを使用したアプリケーションのすべての CBC モード暗号を無効にします。cipher@libssh = -*-CBC
今後の更新では、現在のワイルドカードで一致した新しいアルゴリズムが導入される可能性があることに注意してください。
crypto-policies が、カスタムポリシーで AES-192 暗号に対応するようになりました。
システム全体の暗号化ポリシーが、カスタムポリシーとサブポリシーの cipher オプションに対して、AES-192-GCM、AES-192-CCM、AES-192-CTR および AES-192-CBC の値に対応するようになりました。これにより、Libreswan アプリケーションの AES-192-GCM および AES-192-CBC 暗号、libssh ライブラリーの AES-192-CTR および AES-192-CBC 暗号、および crypto-policies を介して OpenSSH スイートを有効にできます。
(BZ#1876846)
FUTURE 暗号化ポリシーで CBC 暗号を無効にする
今回の crypto-policies パッケージの更新により、FUTURE ポリシーで CBC (cipher block chaining) モードを使用する暗号が無効になります。FUTURE の設定は、近い将来の攻撃に耐えうるものでなければならず、今回の変更は現在の進捗を反映したものです。そのため、FUTURE ポリシーが有効な場合、crypto-policies を遵守するシステムコンポーネントは CBC モードを使用できません。
(BZ#1933016)
新しいカーネル AVC トレースポイントの追加
今回の機能強化により、SELinux 拒否の監査時にトリガーする新しい avc:selinux_audited カーネルトレースポイントが追加されました。この機能により、SELinux 拒否の低レベルのデバッグがより容易になります。perf などのツールには、新しいトレースポイントが利用できます。
(BZ#1954024)
SCAP セキュリティーガイドの新しい ACSC ISM プロファイル
scap-security-guide パッケージで、Australian Cyber Security Centre (ACSC) Information Security Manual (ISM) 準拠のプロファイルと、これに対応するキックスタートファイルを利用できるようになりました。この機能強化により、このセキュリティーベースラインに準拠するシステムをインストールし、OpenSCAP スイートを使用して、ACSC が定義するセキュリティー制御のリスクベースのアプローチを使用して、セキュリティーコンプライアンスと修復を確認できます。
(BZ#1955373)
SCAP セキュリティーガイドが 0.1.57 にリベースされました。
scap-security-guide パッケージがアップストリームバージョン 0.1.57 にリベースされ、バグ修正および改善が複数追加されました。以下に例を示します。
- Australian Cyber Security Centre (ACSC) Information Security Manual (ISM) プロファイルが導入されました。このプロファイルは Essential Eight プロファイルを拡張し、ISM で定義されているより多くのセキュリティー制御を追加します。
- CCenter for Internet Security (CIS) プロファイルが、公式の CIS ベンチマークで定義されているように、強化レベルとシステムタイプ (サーバーおよびワークステーション) に対応する 4 つのプロファイルに再構築されました。
- セキュリティー技術実装ガイド (STIG) セキュリティープロファイルが更新され、最近リリースされたバージョン V1R3 からルールが実装されました。
-
Security Technical Implementation Guide with GUI (STIG with GUI) セキュリティープロファイルが導入されました。プロファイルは STIG プロファイルに由来し、
Server with GUIパッケージの選択を選択する RHEL インストールと互換性があります。 - French National Security Agency (ANSSI) の ANSSI BP-028 の推奨事項に基づくANSSI High level プロファイルが導入されました。これには、高い強化レベルのルールを実装するプロファイルが含まれます。
OpenSCAP が 1.3.5 にリベースされました。
OpenSCAP パッケージがアップストリームバージョン 1.3.5 にリベースされました。主なバグ修正と機能強化は、以下のとおりです。
-
ovalおよびxccdfモジュールのvalidateコマンドで、デフォルトで Schematron ベースの検証を有効にします。 - SCAP 1.3 ソースデータストリーム Schematron を追加。
- XML 署名の検証を追加
-
SOURCE_DATE_EPOCHにmtimeをクランプするのを許可しました。 -
severityおよびrole属性が追加されました。 -
Rule and Group(XCCDF) の
requiresおよびconflicts要素のサポート。 - HTML レポートでの Kubernetes 修復
-
gpfs、proc、およびsysfsのファイルシステムをローカル以外のものとして処理しています。 -
--arg=valというスタイルの一般的なオプションの処理を修正 -
StateTypeOperator の動作が修正されました。 -
XPath 式 (
xmlfilecontent) で名前空間が無視され、不完全な XPath クエリーを許可します。 - 突出したデータの存在に関する警告を生じさせる問題を修正
-
--stig-viewer機能で複数のセグメンテーション違反と破損テストを修正 -
TestResult/benchmark/@href属性を修正 - メモリー管理の多くの問題が修正されました。
- 多くのメモリーリークを修正
デジタル署名された SCAP ソースデータストリームの検証
Security Content Automation Protocol (SCAP) 1.3 仕様に準拠するため、OpenSCAP が、デジタルに署名された SCAP ソースデータストリームのデジタル署名を検証するようになりました。これにより、デジタル署名された SCAP ソースデータストリームを評価する際に、OpenSCAP がデジタル署名を検証します。署名の検証は、ファイルの読み込み時に自動的に実行されます。無効な署名を持つデータストリームが拒否され、OpenSCAP はコンテンツを評価しません。OpenSCAP は、OpenSSL 暗号ライブラリーと共に XML Security Library を使用して、デジタル署名を検証します。
oscap xccdf eval コマンドに --skip-signature-validation オプションを追加すると、署名の検証をスキップできます。
OpenSCAP は、KeyInfo 署名要素の一部で署名の検証に使用される証明書または公開鍵の信頼性に対応していません。不正な攻撃者によって変更および署名されたデータストリームの評価を防ぐために、ご自身で鍵を検証する必要があります。
Server with GUI インストールと互換性のある新しい DISA STIG プロファイル。
新しいプロファイル DISA STIG with GUI が SCAP Security Guide に追加されました。プロファイルは DISA STIG プロファイルに由来し、Server with GUI パッケージグループを選択した RHEL インストールと互換性があります。DISA STIG ではグラフィカルユーザーインターフェイスをアンインストールする必要があるため、これまで存在した stig プロファイルは Server with GUI と互換性がありませんでした。ただし、評価中に Security Officer によって適切に文書化されている場合には、この設定を上書きできます。これにより、新しいプロファイルは、RHEL システムを DISA STIG プロファイルに準拠した Server with GUI としてインストールする際に役立ちます。
STIG セキュリティープロファイルがバージョン V1R3 に更新されました。
SCAP セキュリティーガイドの DISA STIG for Red Hat Enterprise Linux 8 プロファイルが更新され、最新バージョンの V1R3 に合わせて更新されました。このプロファイルはより安定し、DISA (Defense Information Systems Agency) が提供する RHEL 8 STIG (Security Technical Implementation Guide) のマニュアルベンチマークにより適切に調整されるようになりました。
この 2 番目の反復により、STIG に関するカバレッジの約 90% が発生します。古バージョンが有効でなくなったため、このプロファイルの現行バージョンのみを使用する必要があります。
自動修正によりシステムが機能しなくなる場合があります。まずテスト環境で修復を実行してください。
SCAP セキュリティーガイドの 3 つの新しい CIS プロファイル
Center for Internet Security (CIS) Red Hat Enterprise Linux 8 Benchmark に準拠する 3 つの新しいコンプライアンスプロファイルが SCAP セキュリティーガイドに導入されました。CIS RHEL 8 Benchmark は、サーバーとワークステーションデプロイメントには、異なる設定の推奨事項を提供し、デプロイメントごとに 2 つの設定レベルレベル 1 とレベル 2 を定義します。従来 RHEL8 に同梱されていた CIS プロファイルは、サーバーレベル 2 しか表しませんでした。新しい 3 つのプロファイルは CIS RHEL8 Benchmark プロファイルのスコープを完了し、CIS の推奨事項に対してシステムをより簡単に評価できるようになりました。
現在利用可能なすべての CIS RHEL 8 プロファイルは次のとおりです。
| ワークステーションレベル 1 |
|
| ワークステーションレベル 2 |
|
| サーバーレベル 1 |
|
| サーバーレベル 2 |
|
同様のシステムコールをグループ化して Audit の修復のパフォーマンスを強化
以前のバージョンでは、Audit の修正は、プロファイルが監査する各システムコールに対して個々のルールを生成していました。これが、パフォーマンスを低下させる多くの監査ルールの原因でした。今回の機能強化により、Audit の修復では、同じフィールドを持つ同様のシステムコールのルールを 1 つのルールにグループ化でき、パフォーマンスが向上します。
1 つにグループ化されたシステムコールの例:
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F auid>=1000 -F auid!=unset -F key=perm_mod
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat, rmdir -F auid>=1000 -F auid!=unset -F key=delete
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccesful-perm-change
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat -F auid>=1000 -F auid!=unset -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccessful-delete
ANSSI-BP-028 High Level のプロファイルを追加
French National Security Agency (ANSSI) の ANSSI BP-028 の推奨事項に基づく ANSSI High level プロファイルが導入されました。これは、SCAP Security Guideのすべての ANSSI-BP-028 v1.2 強化レベルに対してプロファイルの可用性を完了します。新しいプロファイルを使用すると、システムを GNU/Linux システムの ANSSI からの推奨事項の高い強化レベルに強化できます。これにより、ANSSI Ansible Playbook および ANSSI SCAP プロファイルを使用し、RHEL 8 システムの最も厳しい強化レベルへのコンプライアンスを設定および自動化できます。
Rsyslog TCP および RELP トラフィックを暗号化する OpenSSL が追加されました。
OpenSSL ネットワークストリームドライバーが Rsyslog に追加されました。このドライバーは、OpenSSL ライブラリーを使用して TLS で保護されるトランスポートを実装します。これにより、GnuTLS ライブラリーを使用するストリームドライバーよりも、追加機能が提供されます。これにより、Rsyslog ネットワークストリームドライバーとして OpenSSL または GnuTLS のどちらかを使用できるようになりました。
rsyslog が 8.2102.0-5 にリベースされました。
rsyslog パッケージがアップストリームバージョン 8.2102.0-5 にリベースされ、以前のバージョンに対する主な変更点が加えられています。
-
変数が存在するかどうかを確認するために
exists()スクリプト関数を追加 (例:$!path!var)。 -
omrelpおよびimrelpモジュールの新たな設定パラメーターtls.tlscfgcmdで OpenSSL 設定コマンドを設定するサポートが追加されました。 リモートサーバーに送信されるレート制限 syslog メッセージに対して
omfwdモジュールに新しいレート制限オプションが追加されました。-
RateLimit.intervalはレート制限間隔を秒単位で指定します。 -
RateLimit.burstは、メッセージの数でレート制限バーストを指定します。
-
-
さまざまな改善と共に
immarkモジュールが書き直されました。 -
imptcpモジュールにmax sessions設定パラメーターを追加。最大はインスタンスごとに測定されますが、全インスタンスでグローバルに測定されません。 -
rsyslog-opensslサブパッケージが追加されました。このネットワークストリームドライバーは、OpenSSL ライブラリーを使用して TLS で保護されるトランスポートを実装します。 -
MaxBytesPerMinuteオプションおよびMaxLinesPerMinuteオプションと共に、imfileモジュールに 1 分あたりのレート制限が追加されました。これらのオプションは整数値を受け入れ、1 分で送信される可能性のあるバイト数または行数を制限します。 -
streamdriver.TlsVerifyDepthオプションを使用して証明書チェーンの検証の最大深さを設定するimtcpモジュールおよびomfwdモジュールのサポートを追加
