4.7. セキュリティー
システム全体の crypto-policies のセキュリティーが強化されました。
今回の更新で、システム全体の暗号化ポリシーが、最新のセキュアデフォルトを提供するように調整されました。
- すべてのポリシーで、TLS 1.0、TLS 1.1、DTLS 1.0、RC4、Camellia、DSA、3DES、および FFDHE-1024 が無効になりました。
- LEGACY で、RSA キーの最小サイズと Diffie-Hellman パラメーターの最小サイズが増加しました。
- HMAC (Hash-based Message Authentication Code) での SHA-1 の使用を除く、SHA-1 を使用した無効な TLS アルゴリズムおよび SSH アルゴリズム
シナリオにおいて、無効化されたアルゴリズムと暗号の一部を有効にする必要がある場合は、カスタムポリシーまたはサブポリシーを使用します。
(BZ#1937651)
RHEL 9 は OpenSSL 3.0.1 を提供します。
RHEL 9 は、アップストリームバージョン 3.0.1 で openssl パッケージを提供します。これには、以前のバージョンに改善されたバグ修正が数多く含まれます。以下は、主な変更点です。
- 新しい Provider 概念が追加されました。プロバイダーは一連のアルゴリズムで、異なるアプリケーションに異なるプロバイダーを選択できます。
- 新しいバージョン管理スキームが、<major>.<minor>.<patch> の形式で導入されました。
- Certificate Management Protocol (CMP、RFC 4210)、Certificate Request Message Format (CRMF)、および HTTP transfer (RFC 6712) へのサポートが追加されました。
- GET および POST、リダイレクト、プレーンエンコードおよび ASN.1 エンコードのコンテンツ、プロキシー、およびタイムアウトに対応する HTTP(S) クライアントが導入されました。
- 新しい鍵派生関数 API (EVP_KDF) およびメッセージ認証コード API (EVP_MAC) が追加されました。
-
enable-ktls設定オプションを使用したコンパイルによる Linux カーネル TLS (KTLS) のサポートが追加されました。 - CAdES-BES 署名検証のサポートが追加されました。
- CAdES-BES 署名スキームおよび属性のサポート (RFC 5126) が CMS API に追加されました。
新しいアルゴリズムのサポートが追加されました。以下に例を示します。
- KDF アルゴリズムの SINGLE STEP および SSH
- MAC アルゴリズム GMAC および KMAC。
- KEM アルゴリズム "RSASVE"
- 暗号アルゴリズム AES-SIV
- AES_GCM を使用した AuthEnvelopedData コンテンツタイプ構造 (RFC 5083) を追加しました。
-
PKCS12_create()機能を使用した PKCS #12 作成用のデフォルトアルゴリズムが、より最新の PBKDF2 および AES ベースのアルゴリズムに変更されました。 - 新しい汎用トレース API を追加しました。
OpenSSL にプロバイダーが含まれるようになる
RHEL 9 に含まれるバージョン 3.0.1 の OpenSSL ツールキットに、プロバイダーの概念が追加されました。プロバイダーは一連のアルゴリズムで、異なるアプリケーションに異なるプロバイダーを選択できます。OpenSSL には現在、base、default、fips、legacy、および null のプロバイダーが含まれています。
デフォルトでは、OpenSSL は、RSA、DSA、DH、CAMELLIA、SHA-1、SHA-2 などの一般的に使用されるアルゴリズムを含む default プロバイダーをロードしてアクティブ化します。
カーネルで FIPS フラグが設定されていると、OpenSSL は FIPS プロバイダーを自動的に読み込み、FIPS が承認したアルゴリズムのみを使用します。そのため、OpenSSL を FIPS モードに手動で切り替える必要がありません。
システムレベルで別のプロバイダーに変更するには、openssl.cnf 設定ファイルを編集します。たとえば、シナリオで レガシー プロバイダーの使用が必要な場合は、対応するセクションのコメントを外します。
プロバイダーを明示的にアクティブにすると、デフォルトプロバイダーの暗黙的なアクティブ化が上書きされ、OpenSSH スイートなどにより、システムにリモートでアクセスできない場合があります。
各プロバイダーに含まれるアルゴリズムの詳細は、関連する man ページを参照してください。たとえば、legacy プロバイダーの OSSL_PROVIDER-legacy(7) の man ページなどです。
OpenSSL のランダムビットジェネレータが CPACF に対応
今回のリリースの openssl パッケージでは、OpenSSL NIST SP800-90A 準拠の AES ベースの Deterministic Random Bit Generator (DRBG) において、CP Assist for Cryptographic Functions (CPACF) のサポートが導入されました。
(BZ#1871147)
openssl-spkac が SHA-1 および SHA-256 で署名された SPKAC ファイルを作成できるようになる
openssl-spkac ユーティリティーは、MD5 とは異なるハッシュで署名された Netscapesigned public key and challenge (SPKAC) ファイルを作成できるようになりました。また、SHA-1 および SHA-256 ハッシュで署名された SPKAC ファイルも作成して検証できるようになりました。
RHEL 9 は openCryptoki3.17.0 を提供します
RHEL 9 には、openCryptoki バージョン 3.17.0 が同梱されています。バージョン 3.16.0 への主なバグ修正および機能強化は、以下のとおりです。
-
p11sakユーティリティーは、キーをリスト表示する新しい機能を追加します。 openCryptokiは以下をサポートするようになりました。- OpenSSL 3.0.
- イベント通知。
- ICA トークンのソフトウェアのフォールバック。
- ハードウェアクリプトアダプターが使用可能になっている場合でも、WebSphereApplicationServer の始動に失敗することはなくなりました。
RHEL 9 には、RHEL 固有の追加のパッチが含まれる OpenSSL が含まれています。システムが FIPS (Federal Information Processing Standards) モードになっている場合、OpenSSL は FIPS プロバイダーとベースプロバイダーを自動的に読み込み、アプリケーションが FIPS プロバイダーを使用するように強制します。したがって、RHEL 9 の openCryptoki の動作はアップストリームとは異なります。
- OpenSSL の暗号化操作の実装に依存するトークン (ソフトトークンおよび ICA トークンソフトウェアフォールバック) は、未承認のメカニズムがまだ使用可能としてリストされている場合でも、FIPS 承認済みのメカニズムのみをサポートするようになりました。
openCryptokiは、2 つの異なるトークンデータ形式をサポートしています。これらは、FIPS 承認されていないアルゴリズム (DES や SHA1 など) を使用する古いデータ形式と、FIPS 承認されたアルゴリズムのみを使用する新しいデータ形式です。FIPS プロバイダーは FIPS 承認のアルゴリズムのみの使用を許可しているため、古いデータ形式は機能しなくなりました。
重要openCryptokiを RHEL 9 で機能させるには、システムで FIPS モードを有効にする前に、トークンを移行して新しいデータ形式を使用します。openCryptoki 3.17では古いデータ形式がデフォルトのままであるため、これが必要です。システムが FIPS 対応に変更されると、古いトークンデータ形式を使用する既存のopenCryptokiインストールは機能しなくなります。openCryptokiで提供されるpkcstok_migrateユーティリティーを使用して、トークンを新しいデータ形式に移行できます。移行中は、pkcstok_migrateは FIPS で承認されていないアルゴリズムを使用することに注意してください。したがって、システムで FIPS モードを有効にする前に、このツールを使用します。詳細は、FIPS 準拠への移行 -pkcstok_migrate ユーティリティーを 参照してください。
(BZ#1869533)
バージョン 3.7.3 で提供される GnuTLS
RHEL 9 では、gnutls パッケージはアップストリームバージョン 3.7.3 で提供されています。これにより、以前のバージョンの改善とバグ修正 (特に以下) が数多く追加されました。
- FIPS 140-3 明示的なインジケーターの API を導入。
- PKCS#12 ファイルのエクスポートに強化されたデフォルト。
- 初期データ (ゼロラウンドトリップデータ、0-RTT) 交換のタイミングを修正しました。
-
certutilツールは、証明書署名要求 (CSR) の署名時に、認証局 (CA) から CRL (Certificate Revocation List) 配布点を継承しなくなりました。
(BZ#2033220)
RHEL 9 は NSS3.71 を提供します
RHEL 9 は、Network Security Services (NSS) ライブラリーバージョン 3.71 とともに配布されます。主な変更点は、以下のとおりです。
- 従来の DBM データベース形式のサポートは完全に削除されました。NSS は、RHEL 9 の SQLite データベース形式のみをサポートします。
- PKCS#12 暗号化暗号は、PBE-SHA1-RC2-40 および PBE-SHA1-2DES の代わりに、PBKDF2 および SHA-256 アルゴリズムで AES-128-CBC を使用するようになりました。
NSS が 1023 ビット未満の RSA 鍵に対応しなくなる
Network Security Services (NSS) ライブラリーの更新により、すべての RSA 操作の最小鍵サイズが 128 から 1023 ビットに変更されます。つまり、NSS は以下の機能を実行しなくなります。
- RSA 鍵の生成は 1023 ビット未満です。
- 1023 ビット未満の RSA 鍵で RSA に署名するか、署名を検証します。
- 1023 ビットより短い RSA キーで値を暗号化または復号化します。
OpenSSH の最小 RSA 鍵ビット長オプション
誤って短い RSA 鍵を使用すると、システムが攻撃に対してより脆弱になる可能性があります。今回の更新により、OpenSSH サーバーおよびクライアントの RSA キーの最小ビット長を設定できるようになりました。最小の RSA 鍵の長さを定義するには、OpenSSH サーバーの場合は /etc/ssh/sshd_config ファイルで、OpenSSH クライアントの場合は /etc/ssh/ssh_config ファイルで新しい RSAMinSize オプションを使用します。
8.7p1 で配布された OpenSSH
RHEL 9 には、バージョン 8.7p1 の OpenSSH が含まれています。このバージョンでは、OpenSSH バージョン 8.0p1 で多くの機能拡張とバグ修正が行われました。これは、RHEL 8.5 で配布されており、以下が重要な変更となります。
新機能
以前に使用されていた SCP/RCP プロトコルの代わりに SFTP プロトコルを使用した転送のサポート。SFTP は、より予測可能なファイル名の処理を提供するため、リモート側のシェルで glob(3) パターンを拡張する必要はありません。
SFTP のサポートはデフォルトで有効になっています。使用しているシナリオで SFTP が利用できない場合や互換性がない場合は、
-Oフラグを使用して、元の SCP/RCP プロトコルを強制的に使用できます。-
ファイル/関数/行パターンリストで最大デバッグロギングを強制できるようにする
LogVerbose設定ディレクティブ。 -
新しい
sshd_configのPerSourceMaxStartupsディレクティブおよびPerSourceNetBlockSizeディレクティブを使用した、クライアントのアドレスベースのレートリミット。これにより、全体のMaxStartups制限よりも詳細な制御が可能になります。 -
HostbasedAcceptedAlgorithmsキーワードが、キータイプによるフィルタリングではなく、署名アルゴリズムに基づいてフィルタリングされるようになりました。 -
globパターンを使用して追加の設定ファイルを含めることができる、sshdデーモンのIncludesshd_configキーワード。 -
FIDO Alliance で規定されている Universal 2nd Factor (U2F) ハードウェアオーセンティケーターに対応します。U2F/FIDO は、Web サイトの認証に広く使用されている、安価な 2 要素認証ハードウェア用のオープンスタンダードです。OpenSSH では、FIDO デバイスは、新しい公開鍵タイプの
ecdsa-skおよびed25519-skと、対応する証明書タイプで対応しています。 -
使用するたびに PIN を必要とする FIDO キーに対応します。このような鍵は、新しい
verify-requiredを指定してssh-keygenを使用して生成できます。PIN が必要な鍵を使用すると、署名の操作を完了するための PIN を求めるプロンプトが表示されます。 -
authorized_keysファイルが、新しいverify-requiredオプションに対応するようになりました。このオプションでは、署名を行う前に FIDO 署名がユーザーの存在のトークン検証を表明する必要があります。FIDO プロトコルは、ユーザー検証に複数の方法をサポートしています。OpenSSH は、現在 PIN 検証のみをサポートしています。 -
FIDO
webauthn署名の検証に対応しました。webauthnは、Web ブラウザーで FIDO 鍵を使用するための規格です。このような署名は、プレーンの FIDO 署名とは形式が若干異なるため、明示的なサポートが必要になります。
バグ修正
-
ClientAliveCountMax=0キーワードのセマンティクスを明確にしました。現在では、最初の Liveness テストの成功に関係なく、そのテストの後に接続を即座に強制終了するという以前の動作ではなく、接続の強制終了を完全に無効にしています。
セキュリティー
- XMSS キータイプの秘密鍵解析コードで、悪用可能な整数オーバーフローのバグを修正しました。この鍵タイプは依然として試験的なもので、デフォルトではコンパイルされていません。ポータブルの OpenSSH には、有効にするユーザー向けの autoconf オプションは存在しません。
- Spectre、Meltdown、Rambled などの投機やメモリーサイドチャネル攻撃に対して、RAM にある秘密鍵に対する保護を追加しました。このリリースでは、ランダムデータ (現在 16KB) で設定される比較的大きなプレキーから派生した対称鍵で秘密鍵が使用されていない場合に、秘密鍵を暗号化します。
OpenSSH ではデフォルトでロケール転送が無効になっています
コンテナーや仮想マシンなどの小さなイメージで C.UTF-8 ロケールを使用すると、従来の en_US.UTF-8 ロケールを使用するよりもサイズが小さくなり、パフォーマンスが向上します。
ほとんどのディストリビューションは、デフォルトでロケール環境変数を送信し、サーバー側でそれらを受け入れます。ただし、これは、C または C.UTF-8 以外のロケールを使用するクライアントから glibc-langpack-en または glibc-all-langpacks パッケージがインストールされていないサーバーに SSH 経由でログインすると、ユーザーエクスペリエンスが低下することを意味します。具体的には、UTF-8 形式の出力が壊れており、一部のツールが機能しないか、頻繁に警告メッセージを送信していました。
この更新により、OpenSSH ではロケール転送がデフォルトでオフになります。これにより、クライアントが少数のロケールのみをサポートする最小限のインストールでサーバーに接続する場合でも、ロケールを実行可能に保つことができます。
OpenSSH は U2F/FIDO セキュリティーキーをサポートします
以前は、ハードウェアに格納された OpenSSH キーは、SSH での他のセキュリティーキーの使用を制限する PKCS#11 標準を介してのみサポートされていました。U2F/FIDO セキュリティーキーのサポートはアップストリームで開発され、現在 RHEL 9 に実装されています。これにより、PKCS#11 インターフェイスに関係なく SSH 内のセキュリティーキーの使いやすさが向上します。
バージョン 4.6 で提供される Libreswan
RHEL 9 では、Libreswan はアップストリームバージョン 4.6 で提供されています。このバージョンは、多くのバグ修正と機能拡張を提供します。特に、インターネットキーエクスチェンジバージョン 2 (IKEv2) で使用されるラベル付き IPsec の改善です。
(BZ#2017355)
Libreswan はデフォルトで IKEv1 パッケージを受け入れません
Internet Key Exchange v2(IKEv2) プロトコルが広くデプロイメントされているため、Libreswan はデフォルトで IKEv1 パケットをサポートしなくなりました。IKEv2 では、より安全な環境と攻撃に対する回復力が実現されています。シナリオで IKEv1 を使用する必要がある場合は、ikev1-policy=accept オプションを /etc/ipsec.conf 設定ファイルに追加することで有効にできます。
RHEL 9 は stunnel5.62 を提供します
RHEL 9 は、stunnel パッケージバージョン 5.62 とともに配布されます。主なバグ修正と機能拡張は、以下のとおりです。
-
FIPS モードのシステムでは、
stunnelは常に FIPS モードを使用するようになりました。 -
NO_TLSv1.1、NO_TLSv1.2、およびNO_TLSv1.3オプションは、それぞれNO_TLSv1_1、NO_TLSv1_2、およびNO_TLSv1_3に名前が変更されました。 -
新しいサービスレベルの
sessionResumeオプションは、セッションの再開を有効または無効にします。 -
LDAP が
protocolオプションを使用してstunnelクライアントでサポートされるようになりました。 - Bash-completion スクリプトが利用できるようになりました。
RHEL 9 は nettle 3.7.3 を提供します。
RHEL 9 は、nettle パッケージ 3.7.3 バージョンに、バグ修正および機能強化を複数提供します。主な変更は以下のとおりです。
-
新しいアルゴリズムとモード (
Ed448、SHAKE256、AES-XTS、SIV-CMACなど) に対応します。 - 既存のアルゴリズムにアーキテクチャー固有の最適化を追加します。
(BZ#1986712)
RHEL 9 が p11-kit 0.24 を提供
RHEL 9 では、p11-kit パッケージに 0.24 バージョンが提供されます。このバージョンでは、バグ修正および機能強化が複数追加されました。特に、信頼できない認証局を保存するサブディレクトリーの名前が blocklist に変更されました。
(BZ#1966680)
cyrus-sasl は Berkeley DB の代わりに GDBM を使用
cyrus-sasl パッケージは、libdb 依存関係なしで構築されるようになりました。sasldb プラグインは、Berkeley DB ではなく GDBM データベース形式を使用します。古い Berkeley DB 形式で保存されている既存の Simple Authentication and Security Layer (SASL) データベースを移行するには、cyrusbdb2current を使用します。以下の構文を使用します。
cyrusbdb2current <sasldb_path> <new_path>
RHEL 9 の SELinux ポリシーは、現在のカーネルで最新のものになる
SELinux ポリシーに、カーネルの一部でもある新しいパーミッション、クラス、およびケイパビリティが含まれるようになりました。そのため、SELinux はカーネルの持つポテンシャルを最大限に活用することができます。特に、SELinux ではパーミッション付与の粒度が改善され、セキュリティー上の利点が得られました。また、MLS SELinux ポリシーは、システムにポリシーに対して不明なパーミッションが含まれていた場合に、一部のシステムを起動させなくしていたため、これにより、MLS SELinux ポリシーでシステムを起動できるようになります。
(BZ#1941810、BZ#1954145)
デフォルトの SELinux ポリシーにより、テキスト再配置ライブラリーのコマンドが禁止されます。
インストール済みシステムのセキュリティーフットプリントを向上させるために、selinuxuser_execmod ブール値がデフォルトでオフになりました。そのため、ライブラリーファイルに textrel_shlib_t ラベルがない場合は、SELinux ユーザーは、テキストの再配置を必要とするライブラリーを使用してコマンドを入力できません。
OpenSCAP はバージョン 1.3.6 で提供
RHEL 9 にはバージョン 1.3.6 に OpenSCAP が含まれており、バグ修正および改善点が提供されます。以下に例を示します。
-
--local-filesオプションを使用してスキャン中にダウンロードするのではなく、リモート SCAP ソースデータストリームコンポーネントのローカルコピーを指定できます。 -
OpenSCAP は、複数の
--rule引数を受け入れて、コマンドラインで複数のルールを選択します。 -
--skip-ruleオプションを使用して、一部のルールの評価を省略できます。 -
OSCAP_PROBE_MEMORY_USAGE_RATIO環境変数を使用して、OpenSCAP プローブによって消費されるメモリーを制限できます。 - OpenSCAP は、修復タイプとして OSBuild ブループリントをサポートするようになりました。
OSCAP Anaconda Add-on が、新しいアドオン名に対応しました。
この改善により、OSCAP Anaconda アドオン プラグインのキックスタートファイルにある従来の org_fedora_oscap アドオン名とは異なり、新しい com_redhat_oscap アドオン名を使用できるようになりました。キックスタートセクションの設定は、以下のようになります。
%addon com_redhat_oscap content-type = scap-security-guide %end
OSCAP Anaconda Add-on は、現在、従来のアドオン名と互換性がありますが、今後のメジャーバージョンの RHEL では、従来のアドオン名に対するサポートが削除されます。
(BZ#1893753)
CVE OVAL フィードが圧縮される
今回の更新で、Red Hat は CVE OVAL フィードを圧縮形式で提供するようになりました。これらは XML ファイルとしては利用できなくなりますが、代わりに bzip2 形式になります。RHEL9 のフィードの場所も、この変更を反映するように更新されています。圧縮されたコンテンツの参照は標準化されていないため、サードパーティーの SCAP スキャナーでは、圧縮されたフィードを使用するスキャンルールで問題が発生する可能性があることに注意してください。
バージョン 0.1.60 で提供される SCAP セキュリティーガイド
RHEL 9 には、バージョン 0.1.60 の scap-security-guide パッケージが含まれています。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。
-
PAM スタックを強化するルールは、設定ツールとして
authselectを使用するようになりました。 - SCAP セキュリティーガイドは、STIG プロファイルのデルタ調整ファイルを提供するようになりました。この調整ファイルは、DISA の自動化された STIG と SSG の自動化されたコンテンツの違いを表すプロファイルを定義します。
RHEL 9.0 で対応する SCAP セキュリティーガイドプロファイル
RHEL 9.0 に含まれている SCAP セキュリティーガイドコンプライアンスプロファイルを使用すると、発行組織からの推奨事項に合わせてシステムを強化できます。その結果、関連する修復と SCAP プロファイルを使用して、必要な強化レベルに応じて RHEL 9 システムのコンプライアンスを設定および自動化できます。
| プロファイル名 | プロファイル ID | ポリシーバージョン |
|---|---|---|
| Security of Information Systems (ANSSI) BP-028 Enhanced Level |
| 1.2 |
| French National Agency for the Security of Information Systems (ANSSI) BP-028 High Level |
| 1.2 |
| French National Agency for the Security of Information Systems (ANSSI) BP-028 Intermediary Level |
| 1.2 |
| French National Agency for the Security of Information Systems (ANSSI) BP-028 Minimal Level |
| 1.2 |
| [ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server |
| ドラフト[a] |
| [ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Server |
| ドラフト[a] |
| [ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Workstation |
| ドラフト[a] |
| [ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Workstation |
| ドラフト[a] |
| [ドラフト] Unclassified Information in Non-federal Information Systems and Organizations (NIST 800-171) |
| r2 |
| Australian Cyber Security Centre (ACSC) Essential Eight |
| バージョン付けなし |
| Health Insurance Portability and Accountability Act (HIPAA) |
| バージョン付けなし |
| Australian Cyber Security Centre (ACSC) ISM Official |
| バージョン付けなし |
| [DRAFT] Protection Profile for General Purpose Operating Systems |
| 4.2.1 |
| PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 9 |
| 3.2.1 |
| [ドラフト] DISA STIG for Red Hat Enterprise Linux 9 |
| ドラフト[b] |
| [ドラフト] DISA STIG with GUI for Red Hat Enterprise Linux 9 |
| ドラフト[b] |
[a]
CIS は RHEL 9 の公式ベンチマークを公開していません。
[b]
DISA は RHEL 9 の公式ベンチマークを公開していません。
| ||
自動修正によりシステムが機能しなくなる場合があります。まずテスト環境で修復を実行してください。
(BZ#2045341, BZ#2045349, BZ#2045361, BZ#2045368, BZ#2045374, BZ#2045381, BZ#2045386, BZ#2045393, BZ#2045403)
RHEL 9 が fapolicyd 1.1 を提供
RHEL 9 には、fapolicyd パッケージバージョン 1.1 が同梱されています。以下は、主な変更点です。
-
実行ルールの許可と拒否を含むファイルの
/etc/fapolicyd/rules.d/ディレクトリーは、/etc/fapolicyd/fapolicyd.rulesファイルを置き換えます。fagenrulesスクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを/etc/fapolicyd/compiled.rulesファイルにマージするようになりました。詳細については、新しいfagenrules (8)の man ページを参照してください。 -
RPM データベース外のファイルを信頼できるものとしてマークするための
/etc/fapolicyd/fapolicyd.trustファイルに加えて、信頼できるファイルのリストをより多くのファイルに分割することをサポートする新しい/etc/fapolicyd/trust.dディレクトリーを使用できるようになりました。これらのファイルに--trust-fileディレクティブを指定してfapolicyd-cli-fサブコマンドを使用して、ファイルのエントリーを追加することもできます。詳細については、fapolicyd-cli(1)およびfapolicyd.trust(13)の man ページを参照してください。 -
fapolicydtrust データベースは、ファイル名の空白をサポートするようになりました。 -
fapolicydは、ファイルを信頼データベースに追加するときに、実行可能ファイルへの正しいパスを格納するようになりました。
Rsyslog には、より高性能な操作と CEF のための mmfields モジュールが含まれます
Rsyslog には、mmfields モジュールを提供する rsyslog-mmfields サブパッケージが含まれるようになりました。これは、プロパティー置き換えフィールド抽出を使用する代わりの方法ですが、プロパティー置き換えとは対照的に、すべてのフィールドが一度に抽出され、構造化データ部分の内部に格納されます。その結果、特に Common Event Format (CEF) などのログ形式を処理する場合や、多数のフィールドが必要であったり特定のフィールドを再使用したりする場合などに、mmfields を使用できます。このような場合の mmfields のパフォーマンスは、既存の Rsyslog 機能よりも優れています。
logrotate が別の rsyslog-logrotate に同梱されている
logrotate 設定は、メインの rsyslog パッケージから新しい rsyslog-logrotate パッケージに分離されました。これは、ログローテーションが必要ないなど、特定の最小環境で役立ち、不要な依存関係のインストールを防ぎます。
sudo が Python プラグインをサポート
RHEL 9 に含まれる sudo プログラムバージョン 1.9 では、Python で sudo プラグインを作成できます。これにより、特定のシナリオに合わせて sudo をより正確に改良することが容易になります。
詳細は、sudo_plugin_python(8) man ページを参照してください。
バージョン 2.5.2 で提供される libseccomp
RHEL 9.0 は、アップストリームバージョン 2.5.2 で libseccomp パッケージを提供します。このバージョンでは、以前のバージョンに比べて多くのバグ修正と機能拡張を提供します。
-
Linux の syscall テーブルがバージョン
v5.14-rc7に更新されました。 -
通知ファイル記述子を取得するために、
get_notify_fd()関数が Python バインディングに追加されました。 - すべてのアーキテクチャーの多重化されたシステムコール処理が 1 つの場所に統合されました。
- 多重化されたシステムコールのサポートが、PowerPC (PPC) および MIPS アーキテクチャーに追加されました。
-
カーネル内で
SECCOMP_IOCTL_NOTIF_ID_VALID操作の意味が変更されました。 -
libseccompファイル記述子通知ロジックは、カーネルの以前および新しいSECCOMP_IOCTL_NOTIF_ID_VALIDの使用をサポートするように変更されました。 -
seccomp_load ()を 1 回しか呼び出せなかったバグを修正しました。 -
フィルターに
_NOTIFYアクションがある場合にのみ、通知fdを要求するように通知fd処理を変更しました。 -
SCMP_ACT_NOTIFYに関するドキュメントをseccomp_add_rule(3)のマンページに追加しました。 - メンテナーの GPG キーを明確にしました。
Clevis が SHA-256 に対応しました。
この改善により、Clevis フレームワークは、RFC 7638 が推奨する JSON Web 鍵 (JWK) サムプリントのデフォルトハッシュとして SHA-256 アルゴリズムに対応します。古いサムプリント (SHA-1) にも対応しているため、以前に暗号化したデータは復号できます。
(BZ#1956760)
