検索
サポートコンソール開発者トライアルの開始お問い合わせ

4.7. セキュリティー

download PDF

pcsc-lite パッケージが 1.9.5 にリベースされました

pcsc-lite パッケージはアップストリームバージョン 1.9.5 にリベースされました。この更新では、特に次のような新しい拡張機能とバグ修正が提供されます。

  • pcscd デーモンは、手動で起動したときに非アクティブになった後、自動的に終了しなくなりました。
  • pcsc-spy ユーティリティーは、Python 3 と新しい --thread オプションをサポートするようになりました。
  • SCardEndTransaction() 関数のパフォーマンスが改善されました。
  • poll() 関数は select() 関数に取って代わりました。これにより、FD_SETSIZE よりも大きいファイル記述子番号が許可されます。
  • 多くのメモリーリークと同時実行の問題が修正されました。

(BZ#2014641)

暗号化ポリシーは diffie-hellman-group14-sha256 をサポートする

これで、RHEL システム全体の暗号化ポリシーの libssh ライブラリーに diffie-hellman-group14-sha256 キー交換 (KEX) アルゴリズムを使用できます。この更新は、この KEX アルゴリズムもサポートする OpenSSH との同等性も提供します。この更新により、libssh ではデフォルトで diffie-hellman-group14-sha256 が有効になりますが、カスタム暗号化ポリシーを使用して無効にすることができます。

(BZ#2023744)

OpenSSH サーバーがドロップイン設定ファイルをサポートするようになりました

sshd_config ファイルは include ディレクティブをサポートします。これは、設定ファイルを別のディレクトリーに含めることができることを意味します。これにより、Ansible Engine などの自動化ツールを使用して、OpenSSH サーバーにシステム固有の設定を簡単に適用できます。また、ssh_config ファイルの機能との整合性も高くなっています。さらに、ドロップイン設定ファイルを使用すると、着信接続のフィルター処理など、さまざまな用途に合わせてさまざまな設定ファイルを簡単に整理できます。

(BZ#1926103)

sshd_config:ClientAliveCountMax=0 は接続終了を無効にします

SSHD 設定オプション ClientAliveCountMax0 に設定すると、接続の終了が無効になります。これにより、このオプションの動作がアップストリームと一致します。その結果、OpenSSH は、 ClientAliveInterval オプションで設定されたタイムアウトに達したときに、アイドル状態の SSH ユーザーを切断しなくなりました。

(BZ#2015828)

libssh が 0.9.6 にリベース

libssh パッケージは、アップストリームバージョン 0.9.6 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • 複数の ID ファイルのサポート。ファイルは、〜/.ssh/config ファイルにリストされているように、下から上に処理されます。
  • SFTP での 1 秒未満の時間の解析が修正されました。
  • SSH_AGAIN を予期せず返す ssh_channel_poll_timeout() 関数のリグレッションが修正されました。
  • キーの再交換が修正された後に発生する可能性のあるヒープバッファーオーバーフロー。
  • AEAD 暗号が一致しているが、HMAC の重複がない場合のハンドシェイクのバグが修正されました。
  • エラーパスでのいくつかのメモリーリークが修正されました。

(BZ#1896651)

Libreswan を 4.5 にリベース

Libreswan はアップストリームバージョン 4.5 にリベースされるこのバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • ラベル付き IPsec 用のインターネットキーエクスチェンジバージョン 2 (IKEv2) のサポート。
  • インターネットキーエクスチェンジ (IKE) セキュリティーアソシエーション (SA) の子なしの開始のサポート。

(BZ#2017352)

SELinux モジュールのチェックサムを検証するための新しいオプション

semodule コマンドに新しく追加された --checksum オプションを使用すると、インストールされている SELinux ポリシーモジュールのバージョンを確認できます。

Common Intermediate Language (CIL) はモジュール名とモジュールバージョンをモジュール自体に格納しないため、以前は、インストールされたモジュールがインストールされるはずのモジュールと同じバージョンであることを確認する簡単な方法はありませんでした。

新しいコマンド semodule -l --checksum を使用すると、指定したモジュールの SHA256 ハッシュを受け取り、それを元のファイルのチェックサムと比較できます。これは、モジュールを再インストールするよりも高速です。

使用例: 

# semodule -l --checksum | grep localmodule
localmodule sha256:db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd

# /usr/libexec/selinux/hll/pp localmodule.pp | sha256sum
db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd  -

(BZ#1731501)

OpenSCAP はローカルファイルを読み取ることができます

OpenSCAP は、リモート SCAP ソースデータストリームコンポーネントの代わりにローカルファイルを使用できるようになりました。以前は、インターネットにアクセスできないシステムで、リモートコンポーネントを含む SCAP ソースデータストリームの完全な評価を実行できませんでした。これらのシステムでは、リモートコンポーネントをインターネットからダウンロードする必要があるため、OpenSCAP はこれらのデータストリームの一部のルールを評価できませんでした。この更新により、OpenSCAP スキャンを実行する前にリモート SCAP ソースデータストリームコンポーネントをダウンロードしてターゲットシステムにコピーし、oscap コマンドで --local-files オプションを使用してそれらを OpenSCAP に提供できます。

(BZ#1970529)

SSG は、ホームディレクトリーとインタラクティブユーザーのルールをスキャンして修正するようになりました

対話型ユーザーが使用するホームディレクトリーに関連するすべての既存のルールをチェックおよび修正するための OVAL コンテンツが、SCAP セキュリティーガイド (SSG) スイートに追加されました。多くのベンチマークでは、インタラクティブユーザーのホームディレクトリー内に通常見られるプロパティーとコンテンツの検証が必要です。システム内のインタラクティブユーザーの存在と数はさまざまである可能性があるため、これまで、OVAL 言語を使用してこのギャップを埋める堅牢なソリューションはありませんでした。この更新により、システム内のローカルの対話型ユーザーとそれぞれのホームディレクトリーを検出する OVAL チェックと修復が追加されます。その結果、SSG は、関連するすべてのベンチマーク要件を安全にチェックおよび修正できます。

(BZ#1884687)

SCAP ルールに、大規模システムの監査ログバッファーを設定するための警告メッセージが表示されるようになりました

SCAP ルール xccdf_org.ssgproject.content_rule_audit_basic_configuration は、このルールによって設定された監査ログバッファーが小さすぎてカスタム値を上書きできる大規模システムのユーザーを示唆するパフォーマンス警告を表示するようになりました。この警告は、より大きな監査ログバッファーを設定するプロセスについても説明しています。この機能拡張により、大規模システムのユーザーはコンプライアンスを維持し、監査ログバッファーを正しく設定できます。

(BZ#1993826)

SSG が /etc/security/faillock.conf ファイルをサポートするようになりました

この機能拡張により、SCAP セキュリティーガイド (SSG) の /etc/security/faillock.conf ファイルのサポートが追加されます。この更新により、SSG は pam_faillock 設定の定義について /etc/security/faillock.conf ファイルを評価および修正できます。authselect ツールは、pam ファイルの整合性を確保しながら pam_faillock モジュールを有効にするためにも使用されます。その結果、pam_faillock モジュールの評価と修正は、最新バージョンとベストプラクティスに沿ったものになります。

(BZ#1956972)

SCAP セキュリティーガイドが 0.1.60 にリベースされました。

SCAP セキュリティーガイド (SSG) パッケージは、アップストリームバージョン 0.1.60 にリベースされました。このバージョンは、さまざまな拡張機能とバグ修正を提供します。特に、次のようなものがあります。

  • PAM スタックを強化するルールは、設定ツールとして authselect を使用するようになりました。
  • DISA STIG 自動 SCAP コンテンツと SCAP 自動コンテンツ (デルタ調整) の違いを表すプロファイルを定義する調整ファイルがサポートされるようになりました。
  • ルール xccdf_org.ssgproject.content_enable_fips_mode は、FIPS モードが正しく有効になっているかどうかのみをチェックするようになりました。システムコンポーネントが FIPS 認定を受けていることを保証するものではありません。

(BZ#2014485)

DISA STIG プロファイルは Red Hat Virtualization 4.4 をサポートします

DISA STIG for Red Hat Enterprise Linux 8 プロファイルバージョン V1R5 は、Red Hat Virtualization 4.4 をサポートするように拡張されました。このプロファイルは、国防情報システム局 (DISA) が提供する RHEL 8 セキュリティー技術実装ガイド (STIG) の手動ベンチマークに準拠しています。ただし、一部の設定は、Red Hat Virtualization (RHV) がインストールされているホストには適用されません。これは、Red Hat Virtualization のインストールと正常な動作が妨げられるためです。

STIG プロファイルが Red Hat Virtualization ホスト (RHVH)、セルフホストインストール (RHELH)、または RHV Manager がインストールされているホストに適用される場合、次のルールは適用外になります。

  • package_gss_proxy_removed
  • package_krb5-workstation_removed
  • package_tuned_removed
  • sshd_disable_root_login
  • sudo_remove_nopasswd
  • sysctl_net_ipv4_ip_forward
  • xwindows_remove_packages
警告

自動修正によりシステムが機能しなくなる場合があります。まずテスト環境で修復を実行してください。

(BZ#2021802)

OpenSCAP が 1.3.6 にリベースされました。

OpenSCAP パッケージがアップストリームバージョン 1.3.6 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • --local-files ¥オプションを使用して、リモート SCAP ソースデータストリームコンポーネントのローカルコピーを提供できます。
  • OpenSCAP は、複数の --rule 引数を受け入れて、コマンドラインで複数のルールを選択します。
  • OpenSCAP では、--skip-rule オプションを使用して一部のルールの評価をスキップできます。
  • OSCAP_PROBE_MEMORY_USAGE_RATIO 環境変数を使用して、OpenSCAP プローブによって消費されるメモリーを制限できます。
  • OpenSCAP は、修復タイプとして OSBuild ブループリントをサポートするようになりました。

(BZ#2041781)

clevis-systemdnc に依存しなくなりました

この機能拡張により、clevis-systemd パッケージは nc パッケージに依存しなくなりました。Extra Packages for Enterprise Linux (EPEL) で使用すると、依存関係が正しく機能しませんでした。

(BZ#1949289)

audit が 3.0.7 にリベースされました。

audit パッケージはバージョン 3.0.7 にアップグレードされ、多くの機能拡張とバグ修正が行われました。以下に例を示します。

  • Audit の基本ルールに sudoers を追加しました。
  • --eoe-timeout オプションを ausearch コマンドに追加し、それに類似した eoe_timeout オプションを auditd.conf ファイルに追加しました。これは、イベント終了タイムアウトの値を指定し、ausearch が同じ場所にあるイベントを解析する方法に影響を与えます。
  • リモートロケーションが利用できないときに CPU 容量の 100% を使用する audisp-remote プラグインの修正を導入しました。

(BZ#1939406)

Audit は、イベントタイムアウトの終了を指定するためのオプションを提供するようになりました

このリリースでは、ausearch ツールは --eoe-timeout オプションをサポートし、auditd.conf ファイルには end_of_event_timeout オプションが含まれています。これらのオプションを使用して、イベントタイムアウトの終了を指定し、同じ場所に配置されたイベントの解析に関する問題を回避できます。イベントタイムアウトの終了のデフォルト値は 2 秒に設定されています。

(BZ#1921658)

Audit の基本ルールに sudoer を追加します。

この機能拡張により、/etc/sudoers および etc/sudoers.d/ ディレクトリーが、Payment Card Industry Data Security Standard (PCI DSS) や Operating Systems Protection Profile (OSPP) などの Audit 基本ルールに追加されます。そのため、sudoers などの特権領域の設定変更を監視することでセキュリティーが強化されます。

(BZ#1927884)

Rsyslog には、より高性能な操作と CEF のための mmfields モジュールが含まれます

Rsyslog には、mmfields モジュールを提供する rsyslog-mmfields サブパッケージが含まれるようになりました。これは、プロパティー置き換えフィールド抽出を使用する代わりの方法ですが、プロパティー置き換えとは対照的に、すべてのフィールドが一度に抽出され、構造化データ部分の内部に格納されます。その結果、特に Common Event Format (CEF) などのログ形式を処理する場合や、多数のフィールドが必要であったり特定のフィールドを再使用したりする場合などに、mmfields を使用できます。このような場合の mmfields のパフォーマンスは、既存の Rsyslog 機能よりも優れています。

(BZ#1947907)

libcap がバージョン 2.48 にリベース

libcap パッケージがアップストリームバージョン 2.48 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。主な改善点は以下の通りです。

  • POSIX セマンティックシステムコール用のヘルパーライブラリー (libpsx)
  • システムコール関数のオーバーライドのサポート
  • 機能セットの IAB 抽象化
  • 追加の capsh テスト機能

(BZ#2032813)

fapolicyd が 1.1 にリベースされました。

fapolicyd パッケージは、多くの改善とバグ修正を含むアップストリームバージョン 1.1 にアップグレードされました。最も注目すべき変更点は次のとおりです。

  • 実行ルールの許可と拒否を含むファイルの /etc/fapolicyd/rules.d/ ディレクトリーは、/etc/fapolicyd/fapolicyd.rules ファイルを置き換えます。fagenrules スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを /etc/fapolicyd/compiled.rules ファイルにマージするようになりました。詳細については、新しい fagenrules (8) の man ページを参照してください。
  • RPM データベース外のファイルを信頼できるものとしてマークするための /etc/fapolicyd/fapolicyd.trust ファイルに加えて、信頼できるファイルのリストをより多くのファイルに分割することをサポートする新しい /etc/fapolicyd/trust.d ディレクトリーを使用できるようになりました。これらのファイルに --trust-file ディレクティブを指定して fapolicyd-cli-f サブコマンドを使用して、ファイルのエントリーを追加することもできます。詳細については、fapolicyd-cli(1) および fapolicyd.trust(13) の man ページを参照してください。
  • fapolicyd trust データベースは、ファイル名の空白をサポートするようになりました。
  • fapolicyd は、ファイルを信頼データベースに追加するときに、実行可能ファイルへの正しいパスを格納するようになりました。

(BZ#1939379)

libseccomp が 2.5.2 にリベース

libseccomp パッケージは、アップストリームバージョン 2.5.2 にリベースされました。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。

  • Linux の syscall テーブルがバージョン v5.14-rc7 に更新されました。
  • 通知ファイル記述子を取得するために、get_notify_fd() 関数が Python バインディングに追加されました。
  • すべてのアーキテクチャーの多重化されたシステムコール処理が 1 つの場所に統合されました。
  • 多重化されたシステムコールのサポートが、PowerPC (PPC) および MIPS アーキテクチャーに追加されました。
  • カーネル内で SECCOMP_IOCTL_NOTIF_ID_VALID 操作の意味が変更されました。
  • libseccomp ファイル記述子通知ロジックは、カーネルの以前および新しい SECCOMP_IOCTL_NOTIF_ID_VALID の使用をサポートするように変更されました。

(BZ#2019893)

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.