4.2. セキュリティー
Keylime verifier および registrar コンテナーが利用可能になる
Keylime サーバーコンポーネント (verifier および registrar) を、コンテナーとして設定できるようになりました。コンテナー内で実行されるように設定した場合、Keylime registrar はホストにバイナリーがなくてもコンテナーからテナントシステムを監視します。コンテナーのデプロイメントにより、Keylime コンポーネントの分離性、モジュール性、再現性が向上します。
Jira:RHELDOCS-16721[1]
libkcapi が、ハッシュ値の計算でターゲットファイル名を指定するオプションを提供するようになりました
この libkcapi (Linux カーネル暗号化 API) パッケージの更新により、ハッシュ値の計算でターゲットファイル名を指定するための新しいオプション -T が導入されます。このオプションの値は、処理済みの HMAC ファイルで指定されたファイル名をオーバーライドします。このオプションは、-c オプションとの併用でのみ使用できます。以下に例を示します。
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15298[1]
crypto-policies を使用した SSH の MAC のより細かい制御
システム全体の暗号化ポリシー (crypto-policies) で、SSH プロトコルのメッセージ認証コード (MAC) の追加オプションを設定できるようになりました。この更新により、crypto-policies オプション ssh_etm が、トライステート etm@SSH オプションに変換されました。以前の ssh_etm オプションは非推奨になりました。
ssh_etm は、次のいずれかの値に設定できるようになりました。
ANY-
encrypt-then-macとencrypt-and-macの両方の MAC を許可します。 DISABLE_ETM-
encrypt-then-macMAC を許可しません。 DISABLE_NON_ETM-
encrypt-then-macを使用しない MAC を許可しません。
暗黙の MAC を使用する暗号は、認証付き暗号化を使用するため、常に許可されることに注意してください。
semanage fcontext コマンドがローカルの変更を並べ替えなくなりました
semanage fcontext -l -C コマンドは、file_contexts.local ファイルに保存されているローカルファイルコンテキストの変更をリスト表示します。restorecon ユーティリティーは、file_contexts.local 内のエントリーを最も新しいエントリーから最も古いエントリーへと順番に処理します。以前の semanage fcontext -l -C は、エントリーを間違った順序でリスト表示していました。処理順序とリスト表示順序の不一致により、SELinux ルールの管理時に問題が発生していました。この更新により、semanage fcontext -l -C は、最も古いルールから最も新しいルールへと、期待どおりの正しい順序でルールを表示するようになりました。
Jira:RHEL-24462[1]
SELinux ポリシーに制限されている追加サービス
この更新により、次の systemd サービスを制限する追加のルールが SELinux ポリシーに追加されます。
-
nvme-stas -
rust-afterburn -
rust-coreos-installer -
bootc
その結果、これらのサービスは unconfined_service_t SELinux ラベルでは実行されなくなり、SELinux enforcing モードで正常に実行されます。
Jira:RHEL-12591[1]
SAP HANA サービス用の新しい SELinux ポリシーモジュール
この更新により、SAP HANA サービスの SELinux ポリシーに追加のルールが追加されます。その結果、サービスは sap_unconfined_t ドメインの SELinux enforcing モードで正常に実行されるようになりました。
glusterd SELinux モジュールは別の glusterfs-selinux パッケージへ移動
この更新により、glusterd SELinux モジュールは別の glusterfs-selinux パッケージで管理されるようになりました。したがって、このモジュールは selinux-policy パッケージの一部ではなくなりました。glusterd モジュールに関係するアクションについては、glusterfs-selinux パッケージをインストールして使用します。
OpenSSL 用の fips.so ライブラリーは別パッケージとして提供される
OpenSSL は、FIPS プロバイダーとして fips.so 共有ライブラリーを使用します。この更新により、認定のために米国立標準技術研究所 (NIST) に提出された fips.so の最新バージョンが、別のパッケージに含まれるようになりました。これにより、OpenSSL の将来のバージョンでは、認定済みのコードまたは認定中のコードが使用されるようになります。
Jira:RHEL-23474[1]
chronyd-restricted サービスは SELinux ポリシーによって制限される
この更新では、新しい chronyd-restricted サービスを制限する追加のルールが SELinux ポリシーに追加されます。その結果、サービスは SELinux で正常に実行されるようになりました。
OpenSSL がプロバイダー設定用のドロップインディレクトリーを追加する
OpenSSL TLS ツールキットは、暗号化アルゴリズムを提供するモジュールのインストールおよび設定のためのプロバイダー API をサポートしています。この更新により、メインの OpenSSL 設定ファイルを変更せずに、プロバイダー固有の設定を /etc/pki/tls/openssl.d ディレクトリー内の個別の .conf ファイルに配置できるようになります。
SELinux ユーザー空間コンポーネントが 3.6 にリベース
SELinux ユーザー空間コンポーネント libsepol、libselinux、libsemanage、policycoreutils、checkpolicy、および mcstrans ライブラリーパッケージが 3.6 にリベースされました。このバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。
-
CIL の
denyルールのサポートが追加されました。 -
CIL の
notselfおよびotherキーワードのサポートが追加されました。 -
現在のシステムで実行されたポリシーの再ロードの数を出力する
getpolicyloadバイナリーを追加しました。
GnuTLS が 3.8.3 にリベース
GnuTLS パッケージはアップストリームバージョン 3.8.3 にリベースされました。このバージョンでは、さまざまなバグ修正と機能拡張が行われていますが、特に注目すべき点は次のとおりです。
-
gnutls_hkdf_expand関数は、RFC 5869 2.3 に準拠するために、ハッシュダイジェストサイズの 255 倍以下の長さの引数のみを受け入れるようになりました。 -
TLS PSKユーザー名の長さ制限が 65535 文字に増加されました。 -
gnutls_session_channel_bindingAPI 関数は、RFC 9622 4.2 に従ってGNUTLS_CB_TLS_EXPORTERが要求されたときに追加のチェックを実行します。 -
GNUTLS_NO_STATUS_REQUESTフラグと%NO_STATUS_REQUEST優先度修飾子が追加され、クライアント側でstatus_requestTLS エクステンションを無効にできるようになりました。 - GnuTLS は、TLS バージョンが 1.3 より古い場合、Change Cipher Spec メッセージの内容が 1 に等しいかチェックするようになりました。
- ClientHello エクステンションの順序は、デフォルトでランダム化されます。
- GnuTLS は、以前は機能しなかった PKCS #11 トークンでの EdDSA キー生成をサポートするようになりました。
Jira:RHEL-14891[1]
nettle が 3.9.1 にリベース
nettle ライブラリーパッケージが 3.9.1 にリベースこのバージョンでは、さまざまなバグ修正、最適化、機能拡張が行われていますが、特に注目すべき点は次のとおりです。
- バルーンパスワードハッシュの追加
- SIV-GCM 認証付き暗号化モードの追加
- Offset Codebook Mode 認証付き暗号化モードの追加
- 64 ビット IBM Z、AMD、Intel 64 ビットアーキテクチャーでの SHA-256 ハッシュ関数のパフォーマンスの向上
- IBM Power Systems、Little Endian、AMD、Intel 64 ビットアーキテクチャーにおける Poly1305 ハッシュ関数のパフォーマンスの向上
Jira:RHEL-14890[1]
p11-kit が 0.25.3 にリベース
p11-kit パッケージが、アップストリームバージョン 0.25.3 に更新されました。このパッケージには、PKCS #11 モジュールを管理するための p11-kit ツール、信頼ポリシーストアを操作するための trust ツール、および p11-kit ライブラリーが含まれています。注目すべき機能拡張は次のとおりです。
- PKCS #11 バージョン 3.0 のサポートを追加しました。
pkcs11.hヘッダーファイル:- ChaCha20/Salsa20、Poly1305、IBM 固有のメカニズムと属性を追加しました。
- メッセージベースの暗号化に AES-GCM メカニズムパラメーターを追加しました。
p11-kitツール:-
トークンのオブジェクトをリスト表示および管理するためのユーティリティーコマンド (
list-tokens、list-mechanisms、list-objects、import-object、export-object、delete-object、generate-keypair) を追加しました。 -
トークンの PKCS #11 プロファイルを管理するためのユーティリティーコマンド (
list-profiles、add-profile、delete-profile) を追加しました。 -
マージされた設定を出力するための
print-configコマンドを追加しました。
-
トークンのオブジェクトをリスト表示および管理するためのユーティリティーコマンド (
trustツール:-
.p11-kitファイルの形式を検証するためのcheck-formatコマンドを追加しました。
-
Jira:RHEL-14834[1]
libkcapi が 1.4.0 にリベース
Linux カーネル暗号化 API へのアクセスを提供する libkcapi ライブラリーは、アップストリームバージョン 1.4.0 にリベースされました。この更新には、さまざまな機能拡張とバグ修正が含まれています。主なものは次のとおりです。
-
sm3sumおよびsm3hmacツールを追加しました。 -
kcapi_md_sm3およびkcapi_md_hmac_sm3API を追加しました。 - SM4 の便利な機能を追加しました。
- リンク時最適化 (LTO) のサポートを修正しました。
- LTO リグレッションテストを修正しました。
-
kcapi-encによる任意サイズの AEAD 暗号化のサポートを修正しました。
Jira:RHEL-5367[1]
OpenSSH でのユーザーとグループの作成に sysusers.d 形式を使用します
以前、OpenSSH は静的な useradd スクリプトを使用していました。この更新により、OpenSSH は sysusers.d 形式を使用してシステムユーザーを宣言するようになり、システムユーザーをイントロスペクションできるようになりました。
OpenSSH は認証における人為的な遅延を制限します
ログイン失敗後の OpenSSH の応答は、ユーザー列挙攻撃を防ぐために人為的に遅延されます。この更新では、特権アクセス管理 (PAM) の処理などでリモート認証に時間がかかりすぎる場合に、このような遅延に対して上限を導入します。
Jira:RHEL-2469[1]
stunnel が 5.71 にリベースされま3した
stunnel TLS/SSL トンネリングサービスが、アップストリームバージョン 5.71 にリベースされました。
主な新機能は次のとおりです。
- 最新の PostgreSQL クライアントのサポートが追加されました。
-
protocolHeaderサービスレベルオプションを使用して、カスタムconnectプロトコルネゴシエーションヘッダーを挿入できます。 -
protocolHostオプションを使用して、クライアントの SMTP プロトコルネゴシエーションの HELO/EHLO 値を制御できます。 -
クライアントサイドの
protocol = ldapに関するクライアントサイドサポートが追加されました。 -
サービスレベルの
sessionResumeオプションを使用して、セッション再開を設定できるようになりました。 -
CApathを使用したサーバーモードでのクライアント証明書の要求に対するサポートが追加されました (以前はCAfileのみがサポートされていました)。 - ファイルの読み取りとロギングのパフォーマンスが向上しました。
-
retryオプションの設定可能な遅延のサポートが追加されました。 -
クライアントモードでは、
verifyChainが設定されている場合に OCSP ステープリングの要求および検証が行われます。 - サーバーモードでは、OCSP ステープリングは常に利用可能です。
-
不確定の OCSP 検証により TLS ネゴシエーションが中断されます。これを無効にするには、
OCSPrequire = noと設定します。
Jira:RHEL-2468[1]
Rsyslog で capabilities をドロップするための新しいオプション
次のグローバルオプションを使用して、capabilities をドロップするときの Rsyslog の動作を設定できるようになりました。
libcapng.default-
capabilities のドロップ中にエラーが発生した場合の Rsyslog のアクションを決定します。デフォルト値は
onです。この場合、libcapng-related関連のエラーが発生した場合に Rsyslog が終了します。 libcapng.enable-
Rsyslog が起動中に capabilities をドロップするかどうかを決定します。このオプションを無効にすると、
libcpng.defaultは影響を与えません。
Jira:RHEL-943[1]
audit が 3.1.2 にリベース
Linux の Audit システムがバージョン 3.1.2 に更新されました。これにより、以前にリリースされたバージョン 3.0.7 に対するバグ修正、機能拡張、およびパフォーマンス向上が実現しました。主な機能拡張は、次のとおりです。
-
auparseライブラリーは、名前のないソケットと匿名ソケットを解釈するようになりました。 -
ausearchおよびaureportツールのstartオプションとendオプションで、新しいキーワードthis-hourを使用できます。 -
io_uring非同期 I/O API のサポートが追加されました。 -
シグナル用のユーザーフレンドリーなキーワードが、
auditctlプログラムに追加されました。 -
auparseでの破損したログの処理が改善されました。 -
auditdサービスで、ProtectControlGroupsオプションがデフォルトで無効になりました。 - 除外フィルターのルールチェックが修正されました。
-
OPENAT2フィールドの解釈が改善されました。 -
audispd af_unixプラグインがスタンドアロンプログラムに移動しました。 - Python バインディングが変更され、Python API から Audit ルールが設定できなくなりました。この変更は、Simplified Wrapper and Interface Generator (SWIG) のバグのために行われました。
Jira:RHEL-14896[1]
Rsyslog が 8.2310 にリベース
Rsyslog ログ処理システムがアップストリームバージョン 8.2310 にリベースされました。この更新では、重要な機能拡張とバグ修正が導入されました。主な機能拡張は、次のとおりです。
- カスタマイズ可能な TLS/SSL 暗号化設定
-
以前のバージョンでは、個別の接続に対する TLS/SSL 暗号化設定はグローバル設定に限定されていました。最新バージョンでは、Rsyslog 内の個々の接続それぞれに固有の TLS/SSL 設定を定義できるようになりました。これには、セキュリティーと柔軟性を強化するために、さまざまな CA 証明書、秘密鍵、公開鍵、および CRL ファイルを指定することが含まれます。詳細な情報と使用方法については、
rsyslog-docパッケージで提供されるドキュメントを参照してください。 - capabilities ドロップ機能の改良
-
capabilities のドロップに関連する追加オプションを設定できるようになりました。
libcpng.enableグローバルオプションをoffに設定することで、capabilities のドロップを無効にできます。詳細は、RHEL-943 を参照してください。
Jira:RHEL-937, Jira:RHEL-943
SCAP セキュリティーガイドが 0.1.72 にリベース
SCAP セキュリティーガイド (SSG) パッケージが、アップストリームバージョン 0.1.72 にリベースされました。このバージョンでは、バグ修正とさまざまな機能拡張が行われています。主なものは次のとおりです。
- CIS プロファイルは最新のベンチマークに合わせて更新されます。
- PCI DSS プロファイルは、PCI DSS ポリシーバージョン 4.0 に準拠します。
- STIG プロファイルは、最新の DISA STIG ポリシーに準拠します。
詳細は、SCAP Security Guide release notes を参照してください。
