11.6. セキュリティー
tangd-keygen は デフォルト以外の umask を 正しく処理しません。
tangd-keygen スクリプトは、生成されたキーファイルのファイル権限を変更しません。その結果、他のユーザーへのキーの読み取りを防止するデフォルトのユーザーファイル作成モードマスク (umask) が設定されているシステムでは、tang-show-keys コマンドはキーを表示する代わりにエラーメッセージ Internal Error 500 を返します。
この問題を回避するには、chmod o+r *.jwk コマンドを使用して、/var/db/tang ディレクトリー内のファイルのアクセス許可を変更します。
sshd -T が、暗号、MAC、および KeX アルゴリズムに関する不正確な情報を提供する
sshd -T コマンドの出力には、システム全体の暗号化ポリシー設定や、/etc/sysconfig/sshd 内の環境ファイルから取得でき、sshd コマンドの引数として適用されるその他のオプションは含まれていません。これは、アップストリームの OpenSSH プロジェクトが RHEL8 で Red-Hat が提供する暗号化のデフォルトをサポートするための Include ディレクティブをサポートしていなかったために発生します。暗号化ポリシーは、EnvironmentFile を使用してサービスを開始するときに、sshd.service ユニットの sshd 実行可能ファイルにコマンドライン引数として適用されます。この問題を回避するには、sshd -T $CRYPTO_POLICY のように、環境ファイルで source コマンドを使用し、暗号化ポリシーを引数として sshd コマンドに渡します。詳細については、暗号、MAC、または KeX アルゴリズムが sshd -T とは異なり、現在の暗号ポリシーレベルで提供されるものとは異なるを参照してください。その結果、sshd -T からの出力は、現在設定されている暗号化ポリシーと一致します。
Bugzilla:2044354
インストール中にシステムを強化すると、RHV ハイパーバイザーが正しく動作しないことがある
Red Hat Virtualization Hypervisor (RHV-H) をインストールし、Red Hat Enterprise Linux 8 STIG プロファイルを適用すると、OSCAP Anaconda Add-on が RVH-H ではなく RHEL としてシステムを強化し、RHV-H の必須パッケージを削除する場合があります。その結果、RHV ハイパーバイザーが機能しない場合があります。この問題を回避するには、プロファイルの強化を適用せずに RHV-H システムをインストールし、インストールが完了したら、OpenSCAP を使用してプロファイルを適用します。その結果、RHV ハイパーバイザーは正しく動作します。
CVE OVAL フィードが圧縮形式のみになり、データストリームが SCAP 1.3 標準に準拠していない
Red Hat は、CVE OVAL フィードを bzip2 圧縮形式で提供しています。これらは XML ファイル形式では利用できなくなりました。圧縮されたコンテンツの参照は Security Content Automation Protocol (SCAP) 1.3 仕様で標準化されていないため、サードパーティーの SCAP スキャナーでは、フィードを使用するルールのスキャンで問題が発生する可能性があります。
特定の Rsyslog 優先度文字列が正しく機能しない
imtcp に GnuTLS 優先度文字列を設定して、完成していない暗号化をきめ細かく制御できるようになりました。そのため、次の優先度文字列は、Rsyslog リモートログアプリケーションでは正しく機能しません。
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL
この問題を回避するには、正しく機能する優先度文字列のみを使用します。
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL
したがって、現在の設定は、正しく機能する文字列に限定する必要があります。
CIS Server プロファイルを使用すると、Server with GUI および Workstation をインストールできない
CIS Server Level 1 および Level 2 のセキュリティープロファイルは、Server with GUI および Workstation ソフトウェアの選択と互換性がありません。そのため、Server with GUI ソフトウェアの選択と CIS プロファイルを使用して RHEL 8 をインストールすることはできません。CIS Server Level 1 または Level 2 プロファイルと、これらのソフトウェアの選択のいずれかを使用したインストール試行では、エラーメッセージが生成されます。
package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.
CIS ベンチマークに従ってシステムを Server with GUI または Workstation のソフトウェア選択に¥合わせる必要がある場合は、代わりに CIS Workstation Level 1 または Level 2 プロファイルを使用してください。
RHEL 8 のキックスタートが、com_redhat_oscap の代わりに org_fedora_oscap を使用
キックスタートは、com_redhat_oscap ではなく、org_fedora_oscap として Open Security Content Automation Protocol (OSCAP) Anaconda アドオンを参照します。これが、混乱を招く可能性があります。これは、Red Hat Enterprise Linux 7 との互換性を維持するために必要です。
Bugzilla:1665082
libvirt が xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwarding をオーバーライドする
libvirt 仮想化フレームワークは、route または nat の転送モードを持つ仮想ネットワークが起動するたびに、IPv4 転送を有効にします。これにより、xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwarding ルールによる設定がオーバーライドされ、後続のコンプライアンススキャンでは、このルールを評価するときに fail という結果が報告されます。
この問題を回避するには、次のいずれかのシナリオを適用します。
-
シナリオで必要がない場合は、
libvirtパッケージをアンインストールします。 -
libvirtによって作成された仮想ネットワークの転送モードを変更します。 -
プロファイルを調整して、
xccdf_org.ssgproject.content_rule_sysctl_net_ipv4_conf_all_forwardingルールを削除します。
FIPS モードの OpenSSL が、特定の D-H パラメーターのみを受け入れます。
FIPS モードでは、OpenSSL を使用する TLS クライアントは bad dh value エラーを返し、手動で生成されたパラメーターを使用するようにサーバーへの TLS 接続を中止します。これは、FIPS 140-2 に準拠するよう設定されている場合、OpenSSL が NIST SP 800-56A rev3 付録 D (RFC 3526 で定義されたグループ 14、15、16、17、18、および RFC 7919 で定義されたグループ) に準拠した Diffie-Hellman パラメーターでのみ機能するためです。また、OpenSSL を使用するサーバーは、その他のパラメーターをすべて無視し、代わりに同様のサイズの既知のパラメーターを選択します。この問題を回避するには、準拠するグループのみを使用します。
Bugzilla:1810911
crypto-policies が Camellia 暗号を誤って許可する。
RHEL 8 システム全体の暗号化ポリシーでは、製品ドキュメントで説明されているように、すべてのポリシーレベルで Camellia 暗号を無効にする必要があります。ただし、Kerberos プロトコルでは、デフォルトでこの Camellia 暗号が有効になります。
この問題を回避するには、NO-CAMELLIA サブポリシーを適用します。
# update-crypto-policies --set DEFAULT:NO-CAMELLIA
これまでに上記のコマンドで、DEFAULT から切り替えたことがある場合は、DEFAULT を暗号化レベルの名前に置き換えます。
その結果、この回避策を使用して Cemellia 暗号を無効にしている場合に限り、システム全体の暗号化ポリシーを使用する全ポリシーで、この暗号化を適切に拒否できます。
OpenSC が CardOS V5.3 カードオブジェクトを正しく検出しない可能性がある
OpenSC ツールキットは、CardOS V5.3 システムを使用しているスマートカードのシリアル番号を正しく検出しません。その結果、pkcs11-tool ユーティリティーはカードオブジェクトをリストしない可能性があります。
この問題を回避するには、/etc/opensc.conf ファイルで`use_file_caching = false` オプションを設定してファイルキャッシュをオフにします。
OpenSC pkcs15-init によるスマートカードのプロビジョニングプロセスが適切に動作しない
file_caching オプションは、デフォルトの OpenSC 設定で有効になっているため、キャッシュ機能は pkcs15-init ツールから一部のコマンドを適切に処理しません。したがって、OpenSC を使用したスマートカードのプロビジョニングプロセスは失敗します。
この問題を回避するには、以下のスニペットを /etc/opensc.conf ファイルに追加します。
app pkcs15-init {
framework pkcs15 {
use_file_caching = false;
}
}
pkcs15-init を使用したスマートカードのプロビジョニングは、前述の回避策を適用している場合に限り機能します。
SHA-1 署名を使用するサーバーへの接続が GnuTLS で動作しない
証明書の SHA-1 署名は、GuTLS セキュアな通信ライブラリーにより、セキュアでないものとして拒否されます。したがって、TLS のバックエンドとして GnuTLS を使用するアプリケーションは、このような証明書を提供するピアへの TLS 接続を確立することができません。この動作は、その他のシステム暗号化ライブラリーと一貫性がありません。
この問題を回避するには、サーバーをアップグレードして、SHA-256 または強力なハッシュを使用して署名した証明書を使用するか、LEGACY ポリシーに切り替えます。
Bugzilla:1628553
libselinux-python は、そのモジュールからのみ利用可能
libselinux-python パッケージには、SELinux アプリケーション開発用の Python 2 バインディングのみが含まれ、後方互換性に使用されます。このため、yum install libselinux-python コマンドを使用すると、デフォルトの RHEL 8 リポジトリーで libselinux-python コマンドを利用できなくなりました。
この問題を回避するには、libselinux-python モジュールおよび python27 モジュールの両方を有効にし、以下のコマンドで libselinux-python パッケージとその依存関係をインストールします。
# yum module enable libselinux-python # yum install libselinux-python
または、1 つのコマンドでインストールプロファイルを使用して libselinux-python をインストールします。
# yum module install libselinux-python:2.8/common
これにより、各モジュールを使用して libselinux-python をインストールできます。
Bugzilla:1666328
udica は、--env container=podman で開始したときにのみ UBI 8 コンテナーを処理します。
Red Hat Universal Base Image 8 (UBI 8) コンテナーは、podman の値ではなく、コンテナー 環境変数を oci 値に設定します。これにより、udica ツールがコンテナー JavaScript Object Notation (JSON) ファイルを分析しなくなります。
この問題を回避するには、--env container=podman パラメーターを指定して、podman コマンドで UBI 8 コンテナーを起動します。そのため、udica は、上記の回避策を使用している場合に限り、UBI 8 コンテナーの SELinux ポリシーを生成することができます。
デフォルトのロギング設定がパフォーマンスに与える悪影響
デフォルトのログ環境設定は、メモリーを 4 GB 以上使用する可能性があり、rsyslog で systemd-journald を実行している場合は、速度制限値の調整が複雑になります。
詳細は、ナレッジベースの記事 Negative effects of the RHEL default logging setup on performance and their mitigations を参照してください。
Jira:RHELPLAN-10431
/etc/selinux/config の SELINUX=disabled が正常に動作しません。
/etc/selinux/config で SELINUX=disabled オプションを使用して SELinux を無効にすると、カーネルが SELinux を有効にして起動し、その後のブートプロセスで無効化モードに切り替わります。これにより、メモリーリークが生じる可能性があります。
この問題を回避するには、SELinux を完全に無効にする必要がある場合に SELinux の使用 の システムの起動時に SELinux モードの変更 で説明されているように、selinux=0 パラメーターをカーネルコマンドラインに追加して SELinux を無効にすることが推奨されます。
Jira:RHELPLAN-34199
IKE over TCP 接続がカスタム TCP ポートで機能しない
tcp-remoteport Libreswan 設定オプションが適切に動作しません。したがって、デフォルト以外の TCP ポートを指定する必要があるシナリオでは、IKE over TCP 接続を確立することができません。
scap-security-guide がアイドルセッションの終了を設定できない
sshd_set_idle_timeout ルールはデータストリームにまだ存在しますが、sshd を設定するアイドルセッションタイムアウトの以前の方法は使用できなくなりました。したがって、ルールは applicable としてマークされるため、何も強化できません。systemd (Logind) など、アイドルセッションの終了を設定する他の方法も使用できません。そのため、scap-security-guide は、一定時間が経過した後にアイドルセッションを確実に切断するようにシステムを設定できません。
この問題は、次のいずれかの方法で回避できます。これにより、セキュリティー要件を満たせる可能性があります。
-
accounts_tmoutルールを設定します。ただし、この変数はexecコマンドを使用してオーバーライドできます。 -
configure_tmux_lock_after_timeルールとconfigure_bashrc_exec_tmuxルールを設定します。これには、tmuxパッケージをインストールする必要があります。 -
適切な SCAP ルールとともに
systemd機能がすでに実装されている RHEL 8.7 以降にアップグレードします。
OSCAP Anaconda アドオンは、グラフィカルインストールで調整されたプロファイルをフェッチしません。
OSCAP Anaconda アドオンには、RHEL グラフィカルインストールでセキュリティープロファイルの調整を選択または選択解除するオプションがありません。RHEL 8.8 以降、アドオンはアーカイブまたは RPM パッケージからインストールするときにデフォルトで調整を考慮しません。その結果、インストールでは、OSCAP に合わせたプロファイルを取得する代わりに、次のエラーメッセージが表示されます。
There was an unexpected problem with the supplied content.
この問題を回避するには、キックスタートファイルの %addon org_fedora_oscap セクションにパスを指定する必要があります。次に例を示します。
xccdf-path = /usr/share/xml/scap/sc_tailoring/ds-combined.xml tailoring-path = /usr/share/xml/scap/sc_tailoring/tailoring-xccdf.xml
その結果、OSCAP 調整プロファイルのグラフィカルインストールは、対応するキックスタート仕様のみで使用できます。
スマートカードリーダーを取り外したときに自動画面ロックが機能しない
opensc パッケージが、USB スマートカードリーダーの取り外しを誤って処理します。したがって、スマートカードを取り外したときに画面をロックするように GNOME ディスプレイマネージャー (GDM) が設定されている場合でも、システムはロック解除されたままになります。さらに、USB リーダーを再接続してからスマートカードを取り外した後も画面はロックされません。
この問題を回避するには、次のいずれかのアクションを実行します。
- スマートカードリーダーではなく、常にスマートカードのみを取り外します。
- リーダーとカードを 1 つのパッケージに統合するハードウェアトークンを使用する場合は、RHEL 9 にアップグレードします。
OpenSCAP のメモリー消費の問題
メモリーが限られているシステムでは、OpenSCAP スキャナが途中で終了するか、結果ファイルが生成されない可能性があります。この問題を回避するには、スキャンプロファイルをカスタマイズして、/ ファイルシステム全体の再帰を含むルールの選択を解除します。
-
rpm_verify_hashes -
rpm_verify_permissions -
rpm_verify_ownership -
file_permissions_unauthorized_world_writable -
no_files_unowned_by_user -
dir_perms_world_writable_system_owned -
file_permissions_unauthorized_suid -
file_permissions_unauthorized_sgid -
file_permissions_ungroupowned -
dir_perms_world_writable_sticky_bits
詳細とその他の回避策については、関連する ナレッジベースの記事 を参照してください。
キックスタートインストール時のサービス関連のルールの修正が失敗する場合があります。
キックスタートのインストール時に、OpenSCAP ユーティリティーで、サービス enable または disable 状態の修正が必要でないことが誤って表示されることがあります。これにより、OpenSCAP が、インストール済みシステムのサービスを非準拠状態に設定する可能性があります。回避策として、キックスタートインストール後にシステムをスキャンして修復できます。これにより、サービス関連の問題が修正されます。
