サポートコンソール開発者トライアルの開始お問い合わせ

4.7. セキュリティー

新しいパッケージ: keylime

RHEL 9.1 では、トラステッドプラットフォームモジュール (TPM) テクノロジーを使用するリモートシステムの認証用ツールである Keylime が導入されています。Keylime を使用すると、リモートシステムのインテグリティーを検証し、継続的に監視できます。また、Keylime が監視対象のマシンに配信する暗号化されたペイロードを指定し、システムがインテグリティーテストに失敗するたびにトリガーされる自動アクションを定義することもできます。

詳細は、RHEL 9 のセキュリティー強化ドキュメントの Keylime によるシステム整合性 の確保を参照してください。

(JIRA:RHELPLAN-92522)

OpenSSH の新しいオプションは、最小 RSA キー長の設定をサポートします

誤って短い RSA キーを使用すると、システムが攻撃に対してより脆弱になります。今回の更新により、OpenSSH サーバーおよびクライアントの最小 RSA キー長を設定できるようになりました。最小 RSA キー長を定義する場合、OpenSSH サーバーでは /etc/ssh/sshd_config ファイルで、OpenSSH クライアントでは /etc/ssh/ssh_config ファイルで新しい RequiredRSASize オプションを使用します。

(BZ#2066882)

crypto-policies は、デフォルトで OpenSSH の最小 2048 ビット RSA キー長を強制します

短い RSA キーを使用すると、システムが攻撃に対してより脆弱になります。OpenSSH は最小 RSA キー長の制限をサポートするようになったため、システム全体の暗号化ポリシーは、デフォルトで RSA の最小キー長を 2048 ビットにします。

Invalid key length エラーメッセージで OpenSSH 接続が失敗する場合は、より長い RSA キーの使用を開始してください。

または、セキュリティーを犠牲にしてカスタムサブポリシーを使用し、制限を緩和することもできます。たとえば、update-crypto-policies --show コマンドが DEFAULT を現在のポリシーとして報告した場合:

  1. /etc/crypto-policies/policies/modules/RSA-OPENSSH-1024.pmod ファイルに min_rsa_size@openssh = 1024 パラメーターを挿入して、カスタムサブポリシーを定義します。
  2. update-crypto-policies --set DEFAULT:RSA-OPENSSH-1024 コマンドを使用して、カスタムサブポリシーを適用します。

(BZ#2102774)

OpenSSL の新しいオプションは、署名で SHA-1 をサポートします

RHEL 9 の OpenSSL 3.0.0 は、デフォルトで署名の作成と検証で SHA-1 をサポートしていません (SHA-1 鍵派生関数 (KDF) とハッシュベースのメッセージ認証コード (HMAC) はサポートされています)。ただし、引き続き署名に SHA-1 を使用する RHEL 8 システムとの後方互換性をサポートするために、新しい設定オプション rh-allow-sha1-signatures が RHEL 9 に導入されました。このオプションが openssl.cnfalg_section で有効になっている場合、SHA-1 署名の作成と検証が許可されます。

LEGACY システム全体の暗号化ポリシー (レガシープロバイダーではない) が設定されている場合、このオプションは自動的に有効になります。

これは、SHA-1 署名を使用した RPM パッケージのインストールにも影響することに注意してください。LEGACY システム全体の暗号化ポリシーへの切り替えが必要になる場合があります。

(BZ#2060510、BZ#2055796)

crypto-policiessntrup761x25519-sha512@openssh.com をサポートするようになりました

システム全体の暗号化ポリシーの更新により、sntrup761x25519-sha512@openssh.com キー交換 (KEX) メソッドのサポートが追加されました。ポスト量子 sntrup761 アルゴリズムは OpenSSH スイートですでに利用可能であり、この方法は量子コンピューターからの攻撃に対してより優れたセキュリティーを提供します。sntrup761x25519-sha512@openssh.com を有効にするには、サブポリシーを作成して適用します。次に例を示します。 

# echo 'key_exchange = +SNTRUP' > /etc/crypto-policies/policies/modules/SNTRUP.pmod
# update-crypto-policies --set DEFAULT:SNTRUP

詳細は、RHEL 9 セキュリティー強化ドキュメントの Customizing system-wide cryptographic policies with subpolicies セクションを参照してください。

(BZ#2070604)

NSS が 1023 ビット未満の RSA 鍵に対応しなくなる

Network Security Services (NSS) ライブラリーの更新により、すべての RSA 操作の最小鍵サイズが 128 から 1023 ビットに変更されます。つまり、NSS は以下の機能を実行しなくなります。

  • RSA 鍵の生成は 1023 ビット未満です。
  • 1023 ビット未満の RSA 鍵で RSA に署名するか、署名を検証します。
  • 1023 ビットより短い RSA キーで値を暗号化または復号化します。

(BZ#2091905)

SELinux ポリシーは追加のサービスを制限します

selinux-policy パッケージが更新されたため、次のサービスが SELinux によって制限されるようになりました。

  • ksm
  • nm-priv-helper
  • rhcd
  • stalld
  • systemd-network-generator
  • targetclid
  • wg-quick

(BZ#1965013, BZ#1964862, BZ#2020169、BZ#2021131、BZ#2042614、BZ#2053639BZ#2111069)

SELinux は型遷移で self キーワードをサポートします

SELinux ツールは、ポリシーソースで self キーワードを使用した型遷移ルールをサポートするようになりました。self キーワードによる型遷移のサポートにより、SELinux ポリシーで匿名 i ノードのラベル付けが準備されます。

(BZ#2069718)

SELinux ユーザー空間パッケージが更新されました

SELinux ユーザー空間パッケージ libsepollibselinuxlibsemanagepolicycoreutilscheckpolicy、および mcstrans は、最新のアップストリームリリース 3.4 に更新されました。主な変更点は以下のとおりです。

  • setfilesrestorecon、および fixfiles ツールの -T オプションによる並列ラベル再設定のサポートが追加されました。

    • このオプションでプロセススレッドの数を指定するか、-T 0 を使用して使用可能なプロセッサーコアの最大数を使用できます。これにより、ラベルの再設定に必要な時間が大幅に短縮されます。
  • モジュールの SHA-256 ハッシュを出力する新しい --checksum オプションが追加されました。
  • libsepol-utils パッケージに新しいポリシーユーティリティーが追加されました。

(BZ#2079276)

SELinux の自動ラベル再設定がデフォルトで並列化されるようになりました

新しく導入された並列ラベル再設定オプションにより、マルチコアシステムでの SELinux ラベル再設定に必要な時間が大幅に短縮されるため、自動ラベル再設定スクリプトには、fixfiles コマンドラインに -T 0 オプションが含まれるようになりました。-T 0 オプションを指定すると、setfiles プログラムは、デフォルトでラベルの再設定に使用可能なプロセッサーコアの最大数を使用するようになります。

以前の RHEL バージョンと同じようにラベルの再設定に 1 つのプロセススレッドのみを使用するには、fixfiles onboot の代わりに fixfiles -T 1 onboot コマンドを入力するか、touch /.autorelabel の代わりに echo "-T 1" >/.autorelabel コマンドを入力して、この設定をオーバーライドします。

(BZ#2115242)

SCAP セキュリティーガイドが 0.1.63 にリベースされました

SCAP セキュリティーガイド (SSG) パッケージは、アップストリームバージョン 0.1.63 にリベースされました。このバージョンは、さまざまな拡張機能とバグ修正を提供します。特に、次のようなものがあります。

  • sysctlgrub2pam_pwquality、およびビルド時のカーネル設定の新しいコンプライアンスルールが追加されました。
  • PAM スタックを強化するルールは、設定ツールとして authselect を使用するようになりました。注: この変更により、PAM スタックが他の方法で編集された場合、PAM スタックを強化するルールは適用されません。

(BZ#2070563)

Rsyslog エラーファイルの最大サイズオプションを追加しました

新しい action.errorfile.maxsize オプションを使用すると、Rsyslog ログ処理システムのエラーファイルの最大バイト数を指定できます。エラーファイルが指定されたサイズに達すると、Rsyslog は追加のエラーやその他のデータを書き込むことができなくなります。これにより、エラーファイルが原因でファイルシステムがいっぱいになり、ホストが使用できなくなるのを防ぐことができます。

(BZ#2064318)

clevis-luks-askpass がデフォルトで有効になりました

/lib/systemd/system-preset/90-default.preset ファイルには enable clevis-luks-askpass.path 設定オプションが含まれます。clevis-systemd サブパッケージをインストールすると、必ず clevis-luks-askpass.path ユニットファイルが有効になります。これにより、Clevis 暗号化クライアントは、起動プロセスの後半でマウントされる LUKS 暗号化ボリュームもロック解除できます。この更新の前に、管理者は systemctl enable clevis-luks-askpass.path コマンドを使用して、Clevis がそのようなボリュームのロックを解除できるようにする必要があります。

(BZ#2107078)

fapolicyd が 1.1.3 にリベースされました。

fapolicyd パッケージがバージョン 1.1.3 にアップグレードされました。主な改善点とバグ修正は次のとおりです。

  • ルールに、サブジェクトの親 PID (プロセス ID) と一致する新しいサブジェクト PPID 属性を含めることができるようになりました。
  • OpenSSL ライブラリーは、ハッシュ計算用の暗号化エンジンとして Libgcrypt ライブラリーに取って代わりました。
  • fagenrules --load コマンドが正しく機能するようになりました。

(BZ#2100041)

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.