第20章 セキュリティー
以下の章では、セキュリティーに関する RHEL 8 と RHEL 9 の間の最も重要な変更点を説明します。
20.1. セキュリティーコンプライアンス
ドラフトとして提供される CIS および DISA STIG プロファイル
Center for Internet Security (CIS) および Defense Industry Security Association Security Technical Implementation Guides (DISA STIG) のベンチマークに基づくプロファイルは、発行機関が RHEL 9 の公式ベンチマークをまだ公開していないため、ドラフトとして提供されています。さらに、OSSP プロファイルは実装されているため、ドラフトに含まれています。
RHEL 9 で使用可能なプロファイルの完全なリストについては、RHEL 9 で対応している SCAP セキュリティーガイドプロファイル を参照してください。
OpenSCAP が SHA-1 および MD5 に対応しなくなる
Red Hat Enterprise Linux 9 では SHA-1 ハッシュ関数および MD5 ハッシュ関数が削除されたため、OVAL filehash_test
のサポートが OpenSCAP から削除されました。また、OpenSCAP の OVAL filehash58_test
実装から、SHA-1 ハッシュ関数および MD5 ハッシュ関数への対応が非推奨になりました。その結果、OpenSCAP は、OVAL filehash_test
を notchecked
として使用する SCAP コンテンツのルールを評価します。また、filehash58_object
内の hash_type
要素が SHA-1
または MD5
に設定されている OVAL filehash58_test
を評価すると、OpenSCAP は notchecked
を返します。
OVAL コンテンツを更新するには、影響を受ける SCAP コンテンツを書き換えて、filehash_test
の代わりに filehash58_test
を使用し、filehash58_object
内の hash_type
要素で SHA-224
、SHA-256
、SHA-384
、SHA-512
のいずれかを使用します。
OpenSCAP は、XCCDF ファイルの代わりにデータストリームファイルを使用します。
SCAP ソースデータストリームファイル (ssg-rhel9-ds.xml
) には、以前のバージョンの RHEL では XCCDF ファイル (ssg-rhel9-xccdf.xml
) に含まれていたすべてのデータが含まれています。SCAP ソースデータストリームは、コンプライアンススキャンの実行に必要なすべてのコンポーネント (XCCDF、OVAL、CPE) を含むコンテナーファイルです。RHEL 7 以降、XCCDF の代わりに SCAP ソースデータストリームを使用することが推奨されています。RHEL の以前のバージョンでは、XCCDF ファイルと SCAP ソースデータストリームのデータが重複していました。RHEL 9 では、RPM パッケージのサイズを縮小するために、この重複が削除されています。シナリオでデータストリームの代わりに個別のファイルを使用する必要がある場合は、# oscap ds sds-split /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml output_directory
コマンドを使用してデータストリームファイルを分割することができます。