セキュリティ

NSSでのSEED暗号

SEED暗号を使用するTLS暗号スイートのサポートは、Mozillaのネットワーク・セキュリティ・サービス(NSS)ライブラリでは非推奨となりました。ご使用の設定がSEED暗号に依存している場合は、NSSからSEED暗号が完全に削除された場合に備えて、他の暗号スイートのサポートを有効にする必要があります。

TLS 1.0およびTLS 1.1

これら2つのプロトコルは、DEFAULTシステム全体暗号化ポリシー・レベルでは無効になっています。これらのプロトコルが必要な場合は、次のように、そのポリシーをLEGACYレベルに切り替えてください。

sudo update-crypto-policies --set LEGACY

Dsa

非推奨のDigital Signature Algorithm (DSA)キーに基づく認証メカニズムは、デフォルト構成では機能しなくなりました。システム全体暗号化ポリシー・レベルがLEGACYに設定されている場合でも、OpenSSHクライアントではDSAホスト・キーは受け入れられません。

`fapolicyd.rules`

実行ルールを許可および拒否するポリシーは、/etc/fapolicyd/fapolicyd.rulesファイルで指定されてきました。このファイルは、/etc/fapolicyd/rules.dディレクトリ内のファイルに置き換えられます。

fagenrulesスクリプトは、このディレクトリ内のすべてのコンポーネント・ルール・ファイルを/etc/fapolicyd/compiled.rulesファイルにマージするようになりました。/etc/fapolicyd/fapolicyd.trustのルールは、引き続きfapolicydフレームワークで処理されますが、下位互換性を確保するためにのみ処理されます。

SSL2のClient Hello

Secure Socket Layer 2のClient Helloメッセージは、以前のバージョンのTransport Layer Security (TLS)プロトコルではサポートされていました。NSSライブラリでは非推奨となっているため、この機能は、デフォルトでは無効化されるようになりました。

アプリケーションでClient Helloのサポートが必要な場合は、SSL_ENABLE_V2_COMPATIBLE_HELLO APIを使用することでその機能を有効にしてください。

実行時のSELinuxの無効化

実行時にSELinuxが無効になるように/etc/selinux/config内でSELINUX=disabledオプションを設定することは、非推奨となりました。このオプションのみを使用してSELinuxを無効にした場合、SELinuxは引き続き有効となりますが、ポリシーはロードされません。

SELinuxを完全に無効にするには、カーネル・コマンドラインにselinux=0パラメータを追加します。

`ipa` SELinuxモジュール

このモジュールは、selinux-policyパッケージでは保持されなくなり削除されました。この機能は、ipa-selinuxパッケージに含まれるようになりました。

TPM 1.2

Trusted Platform Module (TPM)は2.0に更新され、複数の点で改善されています。ただし、更新されたバージョンは、以前のバージョンとの下位互換性がありません。そのため、バージョン1.2は非推奨となりました。

`crypto-policies`

カスタム・ポリシーでのcrypto-policiesディレクティブのスコープの導入により、crypto-policiesの次の導出プロパティが非推奨となりました。

tls_cipher
ssh_cipher
ssh_group
ike_protocol
sha1_in_dnssec

protocolプロパティの使用ではスコープが必要になりました。詳細は、crypto-policies(7)マニュアル・ページを参照してください。