8.2. セキュリティー

Libreswan は IPv6 SAN エクステンションを受け入れる

以前は、IPv6 アドレスの subjectAltName (SAN) エクステンションを含む証明書を使用して証明書ベースの認証をセットアップすると、IPsec 接続が失敗しました。この更新により、pluto デーモンは IPv4 だけでなく IPv6 SAN も受け入れるように変更されました。その結果、証明書に埋め込まれた IPv6 アドレスを ID として IPsec 接続が正しく確立されるようになりました。

SELinux ポリシーに、ip vrf による仮想ルーティングを管理するためのルールが追加されました

ip vrf コマンドを使用して、他のネットワークサービスの仮想ルーティングを管理できます。以前は、selinux-policy にはこの用途をサポートするルールは含まれていませんでした。この更新により、SELinux ポリシールールによって、ip ドメインから httpd、sshd、および named ドメインへの明示的な遷移が可能になります。これらの遷移は、ip コマンドが setexeccon ライブラリー呼び出しを使用する場合に適用されます。

unconfined_login が off に設定されている場合、SELinux ポリシーは制限のないユーザーの SSH ログインを拒否します。

以前は、unconfined_login ブール値が off に設定されている場合に、制限のないユーザーが SSH 経由でログインすることを拒否するルールが SELinux ポリシーにありませんでした。その結果、unconfined_login が off に設定されている場合でも、ユーザーは SSHD を使用して制限のないドメインにログインできます。この更新により、SELinux ポリシーにルールが追加され、その結果、unconfined_login が off の場合、ユーザーは sshd 経由で制限なしでログインできなくなります。

SELinux ポリシーにより rsyslogd が制限されたコマンドを実行できる

以前は、SELinux ポリシーには、rsyslogd デーモンが systemctl などの SELinux 制限コマンドを実行できるようにするルールがありませんでした。その結果、omprog ディレクティブの引数として実行されたコマンドは失敗しました。この更新により、SELinux ポリシーにルールが追加され、omprog の引数として実行される /usr/libexec/rsyslog ディレクトリー内の実行可能ファイルが syslogd_unconfined_script_t の制限のないドメインに含まれるようになります。その結果、omprog の引数として実行されたコマンドは正常に終了します。

SELinux ポリシーにより rsyslogd が制限されたコマンドを実行できる

以前は、SELinux ポリシーには、rsyslogd デーモンが systemctl などの SELinux 制限コマンドを実行できるようにするルールがありませんでした。その結果、omprog ディレクティブの引数として実行されたコマンドは失敗しました。この更新により、SELinux ポリシーにルールが追加され、omprog の引数として実行される /usr/libexec/rsyslog ディレクトリー内の実行可能ファイルが syslogd_unconfined_script_t の制限のないドメインに含まれるようになります。その結果、omprog の引数として実行されたコマンドは正常に終了します。

kmod が SELinux MLS ポリシーで実行される

以前は、SELinux は /var/run/tmpfiles.d/static-nodes.conf ファイルにプライベートタイプを割り当てていませんでした。その結果、kmod ユーティリティーは SELinux マルチレベルセキュリティー (MLS) ポリシーで動作しない可能性があります。この更新により、SELinux ポリシーに /var/run/tmpfiles.d/static-nodes.conf の kmod_var_run_t ラベルが追加され、その結果、kmod がSELinux MLS ポリシーで正常に実行されるようになりました。

selinux-autorelabel が SELinux MLS ポリシーで実行される

以前は、SELinux ポリシーは /usr/libexec/selinux/selinux-autorelabel ユーティリティーにプライベートタイプを割り当てていませんでした。その結果、selinux-autorelabel.service は SELinux マルチレベルセキュリティー (MLS) ポリシーで動作しなくなる可能性があります。この更新により、semanage_exec_t ラベルが /usr/libexec/selinux/selinux-autorelabel に追加され、その結果、selinux-autorelabel.service が SELinux MLS ポリシーで正常に実行されるようになりました。

/bin = /usr/bin ファイルのコンテキスト同等性ルールが SELinux ポリシーに追加される

以前は、SELinux ポリシーには /bin = /usr/bin ファイルコンテキスト同等性ルールが含まれていませんでした。その結果、restorecond デーモンは正しく動作しませんでした。この更新により、ポリシーに不足しているルールが追加され、その結果、restorecond は SELinux enforcing モードで正しく動作するようになりました。

SELinux ポリシーには追加のサービスとアプリケーションに関するルールが含まれています

selinux-policy パッケージのこのバージョンには追加のルールが含まれています。特に注目すべきは、sysadm_r ロールのユーザーは次のコマンドを実行できることです。

SELinux ポリシーが QAT ファームウェアの権限を追加する

以前は、Intel VT-d カーネルオプションを有効にして Intel QuickAssist Technology (QAT) を更新すると、SELinux 権限がないために拒否されていました。この更新により、qat サービスに権限が追加されます。その結果、QAT を正しく更新できるようになります。

Rsyslog は omprog を使用して特権コマンドを実行できます

以前は、Rsyslog の omprog モジュールは、特定の外部プログラム、特に特権コマンドを含むプログラムを実行できませんでした。その結果、特権コマンドを含むスクリプトを omprog を介して使用することは制限されていました。この更新では、SELinux ポリシーが調整されました。調整された SELinux ポリシーとの互換性を確保するために、スクリプトを /usr/libexec/rsyslog ディレクトリーに配置してください。そうすることで、Rsyslog は omprog モジュールを使用して、特権コマンドを含むスクリプトを実行できます。

semanage fcontext コマンドがローカルの変更を並べ替えなくなりました

semanage fcontext -l -C コマンドは、file_contexts.local ファイルに保存されているローカルファイルコンテキストの変更をリスト表示します。restorecon ユーティリティーは、file_contexts.local 内のエントリーを最も新しいエントリーから最も古いエントリーへと順番に処理します。以前の semanage fcontext -l -C は、エントリーを間違った順序でリスト表示していました。処理順序とリスト表示順序の不一致により、SELinux ルールの管理時に問題が発生していました。この更新により、semanage fcontext -l -C は、最も古いルールから最も新しいルールへと、期待どおりの正しい順序でルールを表示するようになりました。

オフセット付きの CardOS 5.3 カードが OpenSC で問題を引き起こさなくなりました

以前は、単一の PKCS #15 ファイルの異なるオフセットに証明書を保存する一部の CardOS 5.3 カードでは、ファイルのキャッシュが正しく機能しませんでした。これは、ファイルのキャッシュがファイルのオフセット部分を無視し、結果としてキャッシュのオーバーライドが繰り返され、ファイルのキャッシュから無効なデータが読み取られることが原因でした。この問題はアップストリームで特定および修正されました。この更新以降、CardOS 5.3 カードはファイルのキャッシュに関して正常に動作するようになりました。