4.2. Security


opencryptoki が 3.21.0 にリベース

opencryptoki パッケージはバージョン 3.21.0 にリベースされ、多くの機能拡張とバグ修正が提供されています。最も注目すべき点は、opencryptoki が次の機能をサポートするようになったということです。

  • ハードウェアセキュリティーモジュール (HSM) マスターキーの同時変更
  • 選択したキーを保護されたキーに変換するための protected-key オプション
  • DH、DSA、汎用シークレットキータイプなどの追加のキータイプ
  • EP11 ホストライブラリーバージョン 4
  • AES-XTS キーのタイプ
  • IBM 固有の Kyber キーのタイプとメカニズム
  • 追加の IBM 固有の Dilithium キーラウンド 2 および 3 のバリアント

さらに、pkcsslotd スロットマネージャーは root として実行されなくなり、opencryptoki はさらなる強化を提供します。この更新により、次の新しいコマンドのセットも使用できるようになりました。

p11sak set-key-attr
キーを変更する場合
p11sak copy-key
キーをコピーする場合
p11sak import-key
キーをインポートする場合
p11sak export-key
キーをエクスポートする場合

Bugzilla:2159697[1]

fapolicyd がトラブルシューティング用のルール番号を提供するようになる

この機能拡張では、新しいカーネルおよび Audit コンポーネントにより、fapolicyd サービスが拒否を引き起こすルールの番号を fanotify API に送信できるようになります。その結果、fapolicyd に関連する問題をより正確にトラブルシューティングできます。

Jira:RHEL-628

ANSSI-BP-028 セキュリティープロファイルが、バージョン 2.0 に更新される

SCAP セキュリティーガイド内の以下の French National Agency for the Security of Information Systems (ANSSI) BP-028 プロファイルは、バージョン 2.0 に合わせて更新されました。

  • ANSSI-BP-028 Minimal Level
  • ANSSI-BP-028 Intermediary Level
  • ANSSI-BP-028 Enhanced Level
  • ANSSI-BP-028 High Level

Bugzilla:2155789

インタラクティブユーザーの定義の改善

scap-security-guide パッケージのルールが改善され、より一貫性のあるインタラクティブユーザー設定が提供されるようになりました。以前は、一部のルールで、インタラクティブユーザーと非インタラクティブユーザーを識別するために異なるアプローチが使用されていました。この更新により、インタラクティブユーザーの定義が統一されました。UID が 1000 以上のユーザーアカウントは、nobody および nfsnobody アカウントを除き、またログインシェルとして /sbin/nologin を使用するアカウントを除き、インタラクティブユーザーとみなされます。

この変更は次のルールに影響します。

  • accounts_umask_interactive_users
  • accounts_user_dot_user_ownership
  • accounts_user_dot_group_ownership
  • accounts_user_dot_no_world_writable_programs
  • accounts_user_interactive_home_directory_defined
  • accounts_user_interactive_home_directory_exists
  • accounts_users_home_files_groupownership
  • accounts_users_home_files_ownership
  • accounts_users_home_files_permissions
  • file_groupownership_home_directories
  • file_ownership_home_directories
  • file_permissions_home_directories
  • file_permissions_home_dirs
  • no_forward_files

Bugzilla:2157877Bugzilla:2178740

DISA STIG プロファイルが audit_rules_login_events_faillock をサポートするようになりました。

この機能拡張により、STIG ID RHEL-08-030590 を参照する SCAP セキュリティーガイドの audit_rules_login_events_faillock ルールが、RHEL 8 の DISA STIG プロファイルに追加されました。このルールは、/var/log/faillock ディレクトリーに保存されているログインイベントログを変更しようとする試みを記録するように Audit デーモンが設定されているかどうかを確認します。

Bugzilla:2167999

OpenSCAP が 1.3.8 にリベース

OpenSCAP パッケージがアップストリームバージョン 1.3.8 にリベースされました。このバージョンは、さまざまなバグ修正と機能拡張を提供します。特に、次のとおりです。

  • 一部の systemd ユニットを無視しないように systemd プローブを修正しました
  • shadow OVAL プローブにオフライン機能を追加しました
  • sysctl OVAL プローブにオフライン機能を追加しました
  • ネットワークファイルシステムのリストに auristorfs を追加しました
  • autotailor ユーティリティーによって生成されたファイルの調整に関する問題の回避策を作成しました。

Bugzilla:2217441

SCAP セキュリティーガイドがバージョン 0.1.69 にリベース

SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.69 にリベースされました。このバージョンでは、さまざまな機能拡張とバグ修正が提供されています。特に注目すべきは、2022 年 10 月に National Cryptologic Center of Spain によって発行された CCN-STIC-610A22 ガイドの 3 つのレベルに準拠した RHEL 9 用の 3 つの新しい SCAP プロファイルです。

  • CCN Red Hat Enterprise Linux 9 - Basic
  • CCN Red Hat Enterprise Linux 9 - Intermediate
  • CCN Red Hat Enterprise Linux 9 - Advanced

Bugzilla:2221695

RHEL 8.8 以降から RHEL 9.2 以降への FIPS 対応のインプレースアップグレードがサポートされます。

RHBA-2023:3824 アドバイザリーのリリースにより、FIPS モードが有効な RHEL 8.8 以降のシステムから RHEL 9.2 以降のシステムへのインプレースアップグレードを実行できるようになりました。

Bugzilla:2097003

crypto-policies permitted_enctypes が FIPS モードでのレプリケーションを破損しなくなる

この更新前は、RHEL 8 で実行されている IdM サーバーは、FIPS モードで RHEL 9 を実行している IdM レプリカに AES-256-HMAC-SHA-1 で暗号化されたサービスチケットを送信していました。その結果、デフォルトの permitted_enctypes krb5 設定により、FIPS モードでの RHEL 8 IdM サーバーと RHEL 9 IdM レプリカ間のレプリケーションが破損していました。

この更新により、allowed_enctypes krb5 設定オプションの値が、mac および cipher crypto-policy の値に依存するようになりました。これにより、相互運用可能な暗号化タイプの優先順位付けがデフォルトで可能になります。

この更新の追加結果として、arcfour-hmac-md5 オプションが LEGACY:AD-SUPPORT サブポリシーでのみ使用可能になり、aes256-cts-hmac-sha1-96FUTURE ポリシーで使用できなくなりました。

注記

Kerberos を使用する場合は、/etc/crypto-policies/back-ends/krb5.config ファイル内の permitted_enctypes の値の順序を確認してください。別の順序が必要な場合は、カスタム暗号化サブポリシーを適用します。

Bugzilla:2219912

Audit が FANOTIFY レコードフィールドをサポートするようになる

audit パッケージの今回の更新で、FANOTIFY Audit レコードフィールドがサポートされるようになりました。Audit サブシステムは、特に次のような追加情報を AUDIT_FANOTIFY レコードに記録するようになりました。

  • fan_type: FANOTIFY イベントのタイプを指定する
  • fan_info: 追加のコンテキスト情報を指定する
  • sub_trustobj_trust: イベントに関与するサブジェクトとオブジェクトの信頼レベルを示す

これにより、特定のケースで Audit システムがアクセスを拒否した理由をよりよく理解できます。これは、fapolicyd フレームワークなどのツールのポリシーを作成する場合に役立ちます。

Bugzilla:2216666

QEMU ゲストエージェントが限定されたコマンドを実行できるようにする新しい SELinux ブール値

以前は、QEMU ゲストエージェントデーモンプログラムを通じて限定されたコンテキストで実行されるはずのコマンド (mount など) が、アクセスベクターキャッシュ (AVC) 拒否で失敗していました。これらのコマンドを実行するには、guest-agentvirt_qemu_ga_unconfined_t ドメインで実行されている必要があります。

したがって、この更新では、SELinux ポリシーブール値 virt_qemu_ga_run_unconfined が追加され、guest-agent が以下のいずれかのディレクトリーにある実行可能ファイルに対して virt_qemu_ga_unconfined_t に移行できるようになります。

  • /etc/qemu-ga/fsfreeze-hook.d/
  • /usr/libexec/qemu-ga/fsfreeze-hook.d/
  • /var/run/qemu-ga/fsfreeze-hook.d/

さらに、qemu-ga デーモンの移行に必要なルールが SELinux ポリシーのブール値に追加されました。

その結果、virt_qemu_ga_run_unconfined ブール値を有効にすることで、AVC 拒否なしで QEMU ゲストエージェントを通じて制限されたコマンドを実行できるようになりました。

Bugzilla:2093355

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.