4.7. セキュリティー
システム全体の crypto-policies
のセキュリティーが強化されました。
今回の更新で、システム全体の暗号化ポリシーが、最新のセキュアデフォルトを提供するように調整されました。
- すべてのポリシーで、TLS 1.0、TLS 1.1、DTLS 1.0、RC4、Camellia、DSA、3DES、および FFDHE-1024 が無効になりました。
- LEGACY で、RSA キーの最小サイズと Diffie-Hellman パラメーターの最小サイズが増加しました。
- HMAC (Hash-based Message Authentication Code) での SHA-1 の使用を除く、SHA-1 を使用した無効な TLS アルゴリズムおよび SSH アルゴリズム
シナリオにおいて、無効化されたアルゴリズムと暗号の一部を有効にする必要がある場合は、カスタムポリシーまたはサブポリシーを使用します。
(BZ#1937651)
RHEL 9 は OpenSSL 3.0.1 を提供します。
RHEL 9 は、アップストリームバージョン 3.0.1 で openssl
パッケージを提供します。これには、以前のバージョンに改善されたバグ修正が数多く含まれます。以下は、主な変更点です。
- 新しい Provider 概念が追加されました。プロバイダーは一連のアルゴリズムで、異なるアプリケーションに異なるプロバイダーを選択できます。
- 新しいバージョン管理スキームが、<major>.<minor>.<patch> の形式で導入されました。
- Certificate Management Protocol (CMP、RFC 4210)、Certificate Request Message Format (CRMF)、および HTTP transfer (RFC 6712) へのサポートが追加されました。
- GET および POST、リダイレクト、プレーンエンコードおよび ASN.1 エンコードのコンテンツ、プロキシー、およびタイムアウトに対応する HTTP(S) クライアントが導入されました。
- 新しい鍵派生関数 API (EVP_KDF) およびメッセージ認証コード API (EVP_MAC) が追加されました。
-
enable-ktls
設定オプションを使用したコンパイルによる Linux カーネル TLS (KTLS) のサポートが追加されました。 - CAdES-BES 署名検証のサポートが追加されました。
- CAdES-BES 署名スキームおよび属性のサポート (RFC 5126) が CMS API に追加されました。
新しいアルゴリズムのサポートが追加されました。以下に例を示します。
- KDF アルゴリズムの "SINGLE STEP" および "SSH"。
- MAC アルゴリズム "GMAC" および "KMAC"。
- KEM アルゴリズム "RSASVE"。
- 暗号アルゴリズム "AES-SIV"。
- AES_GCM を使用した AuthEnvelopedData コンテンツタイプ構造 (RFC 5083) を追加しました。
-
PKCS12_create()
機能を使用した PKCS #12 作成用のデフォルトアルゴリズムが、より最新の PBKDF2 および AES ベースのアルゴリズムに変更されました。 - 新しい汎用トレース API を追加しました。
OpenSSL にプロバイダーが含まれるようになる
RHEL 9 に含まれるバージョン 3.0.1 の OpenSSL ツールキットに、プロバイダーの概念が追加されました。プロバイダーは一連のアルゴリズムで、異なるアプリケーションに異なるプロバイダーを選択できます。OpenSSL には現在、base
、default
、fips
、legacy
、および null
のプロバイダーが含まれています。
デフォルトでは、OpenSSL は、RSA、DSA、DH、CAMELLIA、SHA-1、SHA-2 などの一般的に使用されるアルゴリズムを含む default
プロバイダーをロードしてアクティブ化します。
カーネルで FIPS フラグが設定されていると、OpenSSL は FIPS プロバイダーを自動的に読み込み、FIPS が承認したアルゴリズムのみを使用します。そのため、OpenSSL を FIPS モードに手動で切り替える必要がありません。
システムレベルで別のプロバイダーに変更するには、openssl.cnf
設定ファイルを編集します。たとえば、シナリオで レガシー
プロバイダーの使用が必要な場合は、対応するセクションのコメントを外します。
プロバイダーを明示的にアクティブにすると、デフォルトプロバイダーの暗黙的なアクティブ化が上書きされ、OpenSSH スイートなどにより、システムにリモートでアクセスできない場合があります。
各プロバイダーに含まれるアルゴリズムの詳細は、関連する man ページを参照してください。たとえば、legacy
プロバイダーの OSSL_PROVIDER-legacy(7)
の man ページなどです。
OpenSSL のランダムビットジェネレータが CPACF に対応
今回のリリースの openssl
パッケージでは、OpenSSL NIST SP800-90A 準拠の AES ベースの Deterministic Random Bit Generator (DRBG) において、CP Assist for Cryptographic Functions (CPACF) のサポートが導入されました。
(BZ#1871147)
openssl-spkac
が SHA-1 および SHA-256 で署名された SPKAC ファイルを作成できるようになる
openssl-spkac
ユーティリティーは、MD5 とは異なるハッシュで署名された Netscape signed public key and challenge (SPKAC) ファイルを作成できるようになりました。また、SHA-1 および SHA-256 ハッシュで署名された SPKAC ファイルも作成して検証できるようになりました。
RHEL 9 は openCryptoki3.17.0
を提供します
RHEL 9 には、openCryptoki
バージョン 3.17.0 が同梱されています。バージョン 3.16.0 への主なバグ修正および機能強化は、以下のとおりです。
-
p11sak
ユーティリティーは、キーをリスト表示する新しい機能を追加します。 openCryptoki
は以下をサポートするようになりました。- OpenSSL 3.0.
- イベント通知。
- ICA トークンのソフトウェアのフォールバック。
- ハードウェアクリプトアダプターが使用可能になっている場合でも、WebSphere Application Server の始動に失敗することはなくなりました。
RHEL 9 には、RHEL 固有の追加のパッチが含まれる OpenSSL が含まれています。システムが FIPS (Federal Information Processing Standards) モードになっている場合、OpenSSL は FIPS プロバイダーとベースプロバイダーを自動的に読み込み、アプリケーションが FIPS プロバイダーを使用するように強制します。したがって、RHEL 9 の openCryptoki
の動作はアップストリームとは異なります。
- OpenSSL の暗号化操作の実装に依存するトークン (ソフトトークンおよび ICA トークンソフトウェアフォールバック) は、未承認のメカニズムがまだ使用可能としてリストされている場合でも、FIPS 承認済みのメカニズムのみをサポートするようになりました。
openCryptoki
は、2 つの異なるトークンデータ形式をサポートしています。これらは、FIPS 承認されていないアルゴリズム (DES や SHA1 など) を使用する古いデータ形式と、FIPS 承認されたアルゴリズムのみを使用する新しいデータ形式です。FIPS プロバイダーは FIPS 承認のアルゴリズムのみの使用を許可しているため、古いデータ形式は機能しなくなりました。
重要openCryptoki
を RHEL 9 で機能させるには、システムで FIPS モードを有効にする前に、トークンを移行して新しいデータ形式を使用します。openCryptoki 3.17
では古いデータ形式がデフォルトのままであるため、これが必要です。システムが FIPS 対応に変更されると、古いトークンデータ形式を使用する既存のopenCryptoki
インストールは機能しなくなります。openCryptoki
で提供されるpkcstok_migrate
ユーティリティーを使用して、トークンを新しいデータ形式に移行できます。移行中は、pkcstok_migrate
は FIPS で承認されていないアルゴリズムを使用することに注意してください。したがって、システムで FIPS モードを有効にする前に、このツールを使用します。詳細は、Migrating to FIPS compliance - pkcstok_migrate utility を参照してください。
(BZ#1869533)
バージョン 3.7.3 で提供される GnuTLS
RHEL 9 では、gnutls
パッケージはアップストリームバージョン 3.7.3 で提供されています。これにより、以前のバージョンの改善とバグ修正 (特に以下) が数多く追加されました。
- FIPS 140-3 明示的なインジケーターの API を導入。
- PKCS#12 ファイルのエクスポートに強化されたデフォルト。
- 初期データ (ゼロラウンドトリップデータ、0-RTT) 交換のタイミングを修正しました。
-
certutil
ツールは、証明書署名要求 (CSR) の署名時に、認証局 (CA) から CRL (Certificate Revocation List) 配布点を継承しなくなりました。
(BZ#2033220)
RHEL 9 は NSS3.71 を提供します
RHEL 9 は、Network Security Services (NSS) ライブラリーバージョン 3.71 とともに配布されます。主な変更点は、以下のとおりです。
- 従来の DBM データベース形式のサポートは完全に削除されました。NSS は、RHEL 9 の SQLite データベース形式のみをサポートします。
- PKCS#12 暗号化暗号は、PBE-SHA1-RC2-40 および PBE-SHA1-2DES の代わりに、PBKDF2 および SHA-256 アルゴリズムで AES-128-CBC を使用するようになりました。
NSS が 1023 ビット未満の RSA 鍵に対応しなくなる
Network Security Services (NSS) ライブラリーの更新により、すべての RSA 操作の最小鍵サイズが 128 から 1023 ビットに変更されます。つまり、NSS は以下の機能を実行しなくなります。
- RSA 鍵の生成は 1023 ビット未満です。
- 1023 ビット未満の RSA 鍵で RSA に署名するか、署名を検証します。
- 1023 ビットより短い RSA キーで値を暗号化または復号化します。
OpenSSH の最小 RSA 鍵ビット長オプション
誤って短い RSA 鍵を使用すると、システムが攻撃に対してより脆弱になる可能性があります。今回の更新により、OpenSSH サーバーおよびクライアントの RSA キーの最小ビット長を設定できるようになりました。最小の RSA 鍵の長さを定義するには、OpenSSH サーバーの場合は /etc/ssh/sshd_config
ファイルで、OpenSSH クライアントの場合は /etc/ssh/ssh_config
ファイルで新しい RSAMinSize
オプションを使用します。
8.7p1 で配布された OpenSSH
RHEL 9 には、バージョン 8.7p1 の OpenSSH が含まれています。このバージョンでは、OpenSSH バージョン 8.0p1 で多くの機能拡張とバグ修正が行われました。これは、RHEL 8.5 で配布されており、以下が重要な変更となります。
新機能
以前に使用されていた SCP/RCP プロトコルの代わりに SFTP プロトコルを使用した転送のサポート。SFTP は、より予測可能なファイル名の処理を提供するため、リモート側のシェルで glob(3) パターンを拡張する必要はありません。
SFTP のサポートはデフォルトで有効になっています。使用しているシナリオで SFTP が利用できない場合や互換性がない場合は、
-O
フラグを使用して、元の SCP/RCP プロトコルを強制的に使用できます。-
ファイル/関数/行パターンリストで最大デバッグロギングを強制できるようにする
LogVerbose
設定ディレクティブ。 -
新しい
sshd_config
のPerSourceMaxStartups
ディレクティブおよびPerSourceNetBlockSize
ディレクティブを使用した、クライアントのアドレスベースのレートリミット。これにより、全体のMaxStartups
制限よりも詳細な制御が可能になります。 -
HostbasedAcceptedAlgorithms
キーワードが、キータイプによるフィルタリングではなく、署名アルゴリズムに基づいてフィルタリングされるようになりました。 -
glob
パターンを使用して追加の設定ファイルを含めることができる、sshd
デーモンのInclude
sshd_config
キーワード。 -
FIDO Alliance で規定されている Universal 2nd Factor (U2F) ハードウェアオーセンティケーターに対応します。U2F/FIDO は、Web サイトの認証に広く使用されている、安価な 2 要素認証ハードウェア用のオープンスタンダードです。OpenSSH では、FIDO デバイスは、新しい公開鍵タイプの
ecdsa-sk
およびed25519-sk
と、対応する証明書タイプで対応しています。 -
使用するたびに PIN を必要とする FIDO キーに対応します。このような鍵は、新しい
verify-required
を指定してssh-keygen
を使用して生成できます。PIN が必要な鍵を使用すると、署名の操作を完了するための PIN を求めるプロンプトが表示されます。 -
authorized_keys
ファイルが、新しいverify-required
オプションに対応するようになりました。このオプションでは、署名を行う前に FIDO 署名がユーザーの存在のトークン検証を表明する必要があります。FIDO プロトコルは、ユーザー検証に複数の方法をサポートしています。OpenSSH は、現在 PIN 検証のみをサポートしています。 -
FIDO
webauthn
署名の検証に対応しました。webauthn
は、Web ブラウザーで FIDO 鍵を使用するための規格です。このような署名は、プレーンの FIDO 署名とは形式が若干異なるため、明示的なサポートが必要になります。
バグ修正
-
ClientAliveCountMax=0
キーワードのセマンティクスを明確にしました。現在では、最初の Liveness テストの成功に関係なく、そのテストの後に接続を即座に強制終了するという以前の動作ではなく、接続の強制終了を完全に無効にしています。
セキュリティー
- XMSS キータイプの秘密鍵解析コードで、悪用可能な整数オーバーフローのバグを修正しました。この鍵タイプは依然として試験的なもので、デフォルトではコンパイルされていません。ポータブルの OpenSSH には、有効にするユーザー向けの autoconf オプションは存在しません。
- Spectre、Meltdown、Rambleed などの投機やメモリーサイドチャネル攻撃に対して、RAM にある秘密鍵に対する保護を追加しました。このリリースでは、使用されていない秘密鍵を、ランダムデータ (現在 16 KB) で構成される比較的大きな “プレキー” から導出された対称鍵を使用して暗号化します。
OpenSSH ではデフォルトでロケール転送が無効になっています
コンテナーや仮想マシンなどの小さなイメージで C.UTF-8
ロケールを使用すると、従来の en_US.UTF-8
ロケールを使用するよりもサイズが小さくなり、パフォーマンスが向上します。
ほとんどのディストリビューションは、デフォルトでロケール環境変数を送信し、サーバー側でそれらを受け入れます。ただし、これは、C
または C.UTF-8
以外のロケールを使用するクライアントから glibc-langpack-en
または glibc-all-langpacks
パッケージがインストールされていないサーバーに SSH 経由でログインすると、ユーザーエクスペリエンスが低下することを意味します。具体的には、UTF-8 形式の出力が壊れており、一部のツールが機能しないか、頻繁に警告メッセージを送信していました。
この更新により、OpenSSH ではロケール転送がデフォルトでオフになります。これにより、クライアントが少数のロケールのみをサポートする最小限のインストールでサーバーに接続する場合でも、ロケールを実行可能に保つことができます。
OpenSSH は U2F/FIDO セキュリティーキーをサポートします
以前は、ハードウェアに格納された OpenSSH キーは、SSH での他のセキュリティーキーの使用を制限する PKCS#11 標準を介してのみサポートされていました。U2F/FIDO セキュリティーキーのサポートはアップストリームで開発され、現在 RHEL 9 に実装されています。これにより、PKCS#11 インターフェイスに関係なく SSH 内のセキュリティーキーの使いやすさが向上します。
バージョン 4.6 で提供される Libreswan
RHEL 9 では、Libreswan はアップストリームバージョン 4.6 で提供されています。このバージョンは、多くのバグ修正と機能拡張を提供します。特に、インターネットキーエクスチェンジバージョン 2 (IKEv2) で使用されるラベル付き IPsec の改善です。
(BZ#2017355)
Libreswan はデフォルトで IKEv1 パッケージを受け入れません
Internet Key Exchange v2(IKEv2) プロトコルが広くデプロイメントされているため、Libreswan はデフォルトで IKEv1 パケットをサポートしなくなりました。IKEv2 では、より安全な環境と攻撃に対する回復力が実現されています。シナリオで IKEv1 を使用する必要がある場合は、ikev1-policy=accept
オプションを /etc/ipsec.conf
設定ファイルに追加することで有効にできます。
RHEL 9 は stunnel5.62
を提供します
RHEL 9 は、stunnel
パッケージバージョン 5.62 とともに配布されます。主なバグ修正と機能拡張は、以下のとおりです。
-
FIPS モードのシステムでは、
stunnel
は常に FIPS モードを使用するようになりました。 -
NO_TLSv1.1
、NO_TLSv1.2
、およびNO_TLSv1.3
オプションは、それぞれNO_TLSv1_1
、NO_TLSv1_2
、およびNO_TLSv1_3
に名前が変更されました。 -
新しいサービスレベルの
sessionResume
オプションは、セッションの再開を有効または無効にします。 -
LDAP が
protocol
オプションを使用してstunnel
クライアントでサポートされるようになりました。 - Bash-completion スクリプトが利用できるようになりました。
RHEL 9 は nettle
3.7.3 を提供します。
RHEL 9 は、nettle
パッケージ 3.7.3 バージョンに、バグ修正および機能強化を複数提供します。主な変更は以下のとおりです。
-
新しいアルゴリズムとモード (
Ed448
、SHAKE256
、AES-XTS
、SIV-CMAC
など) に対応します。 - 既存のアルゴリズムにアーキテクチャー固有の最適化を追加します。
(BZ#1986712)
RHEL 9 が p11-kit
0.24 を提供
RHEL 9 では、p11-kit
パッケージに 0.24 バージョンが提供されます。このバージョンでは、バグ修正および機能強化が複数追加されました。特に、信頼できない認証局を保存するサブディレクトリーの名前が blocklist
に変更されました。
(BZ#1966680)
cyrus-sasl
は Berkeley DB の代わりに GDBM を使用
cyrus-sasl
パッケージは、libdb
依存関係なしで構築されるようになりました。sasldb
プラグインは、Berkeley DB ではなく GDBM データベース形式を使用します。古い Berkeley DB 形式で保存されている既存の Simple Authentication and Security Layer (SASL) データベースを移行するには、cyrusbdb2current
を使用します。以下の構文を使用します。
cyrusbdb2current <sasldb_path> <new_path>
RHEL 9 の SELinux ポリシーは、現在のカーネルで最新のものになる
SELinux ポリシーに、カーネルの一部でもある新しいパーミッション、クラス、およびケイパビリティが含まれるようになりました。そのため、SELinux はカーネルの持つポテンシャルを最大限に活用することができます。特に、SELinux ではパーミッション付与の粒度が改善され、セキュリティー上の利点が得られました。また、MLS SELinux ポリシーは、システムにポリシーに対して不明なパーミッションが含まれていた場合に、一部のシステムを起動させなくしていたため、これにより、MLS SELinux ポリシーでシステムを起動できるようになります。
(BZ#1941810、BZ#1954145)
デフォルトの SELinux ポリシーにより、テキスト再配置ライブラリーのコマンドが禁止されます。
インストール済みシステムのセキュリティーフットプリントを向上させるために、selinuxuser_execmod
ブール値がデフォルトでオフになりました。そのため、ライブラリーファイルに textrel_shlib_t
ラベルがない場合は、SELinux ユーザーは、テキストの再配置を必要とするライブラリーを使用してコマンドを入力できません。
OpenSCAP はバージョン 1.3.6 で提供
RHEL 9 にはバージョン 1.3.6 に OpenSCAP が含まれており、バグ修正および改善点が提供されます。以下に例を示します。
-
--local-files
オプションを使用してスキャン中にダウンロードするのではなく、リモート SCAP ソースデータストリームコンポーネントのローカルコピーを指定できます。 -
OpenSCAP は、複数の
--rule
引数を受け入れて、コマンドラインで複数のルールを選択します。 -
--skip-rule
オプションを使用して、一部のルールの評価を省略できます。 -
OSCAP_PROBE_MEMORY_USAGE_RATIO
環境変数を使用して、OpenSCAP プローブによって消費されるメモリーを制限できます。 - OpenSCAP は、修復タイプとして OSBuild ブループリントをサポートするようになりました。
OSCAP Anaconda Add-on が、新しいアドオン名に対応しました。
この改善により、OSCAP Anaconda アドオン プラグインのキックスタートファイルにある従来の org_fedora_oscap
アドオン名とは異なり、新しい com_redhat_oscap
アドオン名を使用できるようになりました。キックスタートセクションの設定は、以下のようになります。
%addon com_redhat_oscap content-type = scap-security-guide %end
OSCAP Anaconda Add-on は、現在、従来のアドオン名と互換性がありますが、今後のメジャーバージョンの RHEL では、従来のアドオン名に対するサポートが削除されます。
(BZ#1893753)
CVE OVAL フィードが圧縮される
今回の更新で、Red Hat は CVE OVAL フィードを圧縮形式で提供するようになりました。これらは XML ファイルとしては利用できなくなりますが、代わりに bzip2
形式になります。RHEL9 のフィードの場所も、この変更を反映するように更新されています。圧縮されたコンテンツの参照は標準化されていないため、サードパーティーの SCAP スキャナーでは、圧縮されたフィードを使用するスキャンルールで問題が発生する可能性があることに注意してください。
バージョン 0.1.60 で提供される SCAP セキュリティーガイド
RHEL 9 には、バージョン 0.1.60 の scap-security-guide
パッケージが含まれています。このバージョンでは、主なバグ修正および機能強化が数多く追加されました。
-
PAM スタックを強化するルールは、設定ツールとして
authselect
を使用するようになりました。 - SCAP セキュリティーガイドは、STIG プロファイルのデルタ調整ファイルを提供するようになりました。この調整ファイルは、DISA の自動化された STIG と SSG の自動化されたコンテンツの違いを表すプロファイルを定義します。
RHEL 9.0 で対応する SCAP セキュリティーガイドプロファイル
RHEL 9.0 に含まれている SCAP セキュリティーガイドコンプライアンスプロファイルを使用すると、発行組織からの推奨事項に合わせてシステムを強化できます。その結果、関連する修復と SCAP プロファイルを使用して、必要な強化レベルに応じて RHEL 9 システムのコンプライアンスを設定および自動化できます。
プロファイル名 | プロファイル ID | ポリシーバージョン |
---|---|---|
Security of Information Systems (ANSSI) BP-028 Enhanced Level |
| 1.2 |
French National Agency for the Security of Information Systems (ANSSI) BP-028 High Level |
| 1.2 |
French National Agency for the Security of Information Systems (ANSSI) BP-028 Intermediary Level |
| 1.2 |
French National Agency for the Security of Information Systems (ANSSI) BP-028 Minimal Level |
| 1.2 |
[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Server |
| ドラフト[a] |
[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Server |
| ドラフト[a] |
[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 1 - Workstation |
| ドラフト[a] |
[ドラフト] CIS Red Hat Enterprise Linux 9 Benchmark for Level 2 - Workstation |
| ドラフト[a] |
[ドラフト] Unclassified Information in Non-federal Information Systems and Organizations (NIST 800-171) |
| r2 |
Australian Cyber Security Centre (ACSC) Essential Eight |
| バージョン付けなし |
Health Insurance Portability and Accountability Act (HIPAA) |
| バージョン付けなし |
Australian Cyber Security Centre (ACSC) ISM Official |
| バージョン付けなし |
[DRAFT] Protection Profile for General Purpose Operating Systems |
| 4.2.1 |
PCI-DSS v3.2.1 Control Baseline for Red Hat Enterprise Linux 9 |
| 3.2.1 |
[ドラフト] DISA STIG for Red Hat Enterprise Linux 9 |
| ドラフト[b] |
[ドラフト] DISA STIG with GUI for Red Hat Enterprise Linux 9 |
| ドラフト[b] |
[a]
CIS は RHEL 9 の公式ベンチマークを公開していません。
[b]
DISA は RHEL 9 の公式ベンチマークを公開していません。
|
自動修正によりシステムが機能しなくなる場合があります。まずテスト環境で修復を実行してください。
(BZ#2045341, BZ#2045349, BZ#2045361, BZ#2045368, BZ#2045374, BZ#2045381, BZ#2045386, BZ#2045393, BZ#2045403)
RHEL 9 が fapolicyd
1.1 を提供
RHEL 9 には、fapolicyd
パッケージバージョン 1.1 が同梱されています。以下は、主な変更点です。
-
実行ルールの許可と拒否を含むファイルの
/etc/fapolicyd/rules.d/
ディレクトリーは、/etc/fapolicyd/fapolicyd.rules
ファイルを置き換えます。fagenrules
スクリプトは、このディレクトリー内のすべてのコンポーネントルールファイルを/etc/fapolicyd/compiled.rules
ファイルにマージするようになりました。詳細は、新しいfagenrules(8)
man ページを参照してください。 -
RPM データベース外のファイルを信頼できるものとしてマークするための
/etc/fapolicyd/fapolicyd.trust
ファイルに加えて、信頼できるファイルのリストをより多くのファイルに分割することをサポートする新しい/etc/fapolicyd/trust.d
ディレクトリーを使用できるようになりました。これらのファイルに--trust-file
ディレクティブを指定してfapolicyd-cli-f
サブコマンドを使用して、ファイルのエントリーを追加することもできます。詳細は、fapolicyd-cli(1)
およびfapolicyd.trust(13)
の man ページを参照してください。 -
fapolicyd
trust データベースは、ファイル名の空白をサポートするようになりました。 -
fapolicyd
は、ファイルを信頼データベースに追加するときに、実行可能ファイルへの正しいパスを格納するようになりました。
Rsyslog には、より高性能な操作と CEF のための mmfields
モジュールが含まれます
Rsyslog には、mmfields
モジュールを提供する rsyslog-mmfields
サブパッケージが含まれるようになりました。これは、プロパティー置き換えフィールド抽出を使用する代わりの方法ですが、プロパティー置き換えとは対照的に、すべてのフィールドが一度に抽出され、構造化データ部分の内部に格納されます。その結果、特に Common Event Format (CEF) などのログ形式を処理する場合や、多数のフィールドが必要であったり特定のフィールドを再使用したりする場合などに、mmfields
を使用できます。このような場合の mmfields
のパフォーマンスは、既存の Rsyslog 機能よりも優れています。
logrotate
が別の rsyslog-logrotate
に同梱されている
logrotate
設定は、メインの rsyslog
パッケージから新しい rsyslog-logrotate
パッケージに分離されました。これは、ログローテーションが必要ないなど、特定の最小環境で役立ち、不要な依存関係のインストールを防ぎます。
sudo
が Python プラグインをサポート
RHEL 9 に含まれる sudo
プログラムバージョン 1.9 では、Python で sudo
プラグインを作成できます。これにより、特定のシナリオに合わせて sudo
をより正確に改良することが容易になります。
詳細は、sudo_plugin_python(8)
man ページを参照してください。
バージョン 2.5.2 で提供される libseccomp
RHEL 9.0 は、アップストリームバージョン 2.5.2 で libseccomp
パッケージを提供します。このバージョンでは、以前のバージョンに比べて多くのバグ修正と機能拡張を提供します。
-
Linux の syscall テーブルがバージョン
v5.14-rc7
に更新されました。 -
通知ファイル記述子を取得するために、
get_notify_fd()
関数が Python バインディングに追加されました。 - すべてのアーキテクチャーの多重化されたシステムコール処理が 1 つの場所に統合されました。
- 多重化されたシステムコールのサポートが、PowerPC (PPC) および MIPS アーキテクチャーに追加されました。
-
カーネル内で
SECCOMP_IOCTL_NOTIF_ID_VALID
操作の意味が変更されました。 -
libseccomp
ファイル記述子通知ロジックは、カーネルの以前および新しいSECCOMP_IOCTL_NOTIF_ID_VALID
の使用をサポートするように変更されました。 -
seccomp_load ()
を 1 回しか呼び出せなかったバグを修正しました。 -
フィルターに
_NOTIFY
アクションがある場合にのみ、通知fd
を要求するように通知fd
処理を変更しました。 -
SCMP_ACT_NOTIFY
に関するドキュメントをseccomp_add_rule(3)
のマンページに追加しました。 - メンテナーの GPG キーを明確にしました。
Clevis が SHA-256
に対応しました。
この改善により、Clevis フレームワークは、RFC 7638
が推奨する JSON Web 鍵 (JWK) サムプリントのデフォルトハッシュとして SHA-256
アルゴリズムに対応します。古いサムプリント (SHA-1) にも対応しているため、以前に暗号化したデータは復号できます。
(BZ#1956760)