セキュリティ
次のセキュリティ関連の機能は、Oracle Linux 9では非推奨です。
SHA-1アルゴリズム
SHA1アルゴリズムはOracle Linux 9では非推奨です。SHA-1ハッシュ・アルゴリズムを使用したデジタル署名は安全と見なされなくなったことから、Oracle Linux 9システムのデフォルトでは許可されていません。Oracle Linux 9は、セキュリティ関連のユースケースでSHA-1を使用しないように更新されました。
ただし、HMAC-SHA1メッセージ認証コードと汎用固有識別子(UUID)の値は、引き続きSHA-1を使用して作成できます。
既存またはサード・パーティの暗号化署名の検証にSHA-1が必要な場合は、次のようにSHA-1を有効にできます。
sudo update-crypto-policies --set DEFAULT:SHA1 代替として、システム全体の暗号化ポリシーをLEGACYポリシーに切り替えることができます。ただし、このポリシーでは、安全でない他のアルゴリズムも有効になっているため、システムを脆弱にするリスクがあります。
SCPプロトコル
scpユーティリティでは、セキュア・コピー・プロトコル(SCP)はデフォルトでSSHファイル転送プロトコル(SFTP)に置き換えられます。同様に、SCPはlibsshライブラリで非推奨です。
Oracle Linux 9では、OpenSSHスイートでSCPを使用しません。
OpenSSL暗号化アルゴリズム
-
MD2
-
MD4
-
MDC2
-
Whirlpool
-
RIPEMD160
-
Blowfish
-
CAST
-
DES
-
IDEA
-
RC2
-
RC4
-
RC5
-
SEED
-
PBKDF1
これらのアルゴリズムの実装は、OpenSSLのレガシー・プロバイダに移動されました
レガシー・プロバイダをロードし、非推奨のアルゴリズムのサポートを有効にする方法は、/etc/pki/tls/openssl.cnf構成ファイルを参照してください。
/etc/system-fipsファイル
/etc/system-fipsファイルは、システムでFIPSモードを指定するために使用されていました。このファイルはOracle Linux 9で削除されます。
Oracle Linux 9をFIPSモードでインストールするには、システムのインストール時に、fips=1パラメータをカーネル・コマンドラインに追加します。Oracle Linux 9がFIPSモードで動作しているかどうかを確認するには、fips-mode-setup --checkコマンドを使用します。
fapolicyd.rules
fapolicyd.rules/etc/fapolicyd/fapolicyd.rulesファイルは非推奨です。fapolicydのポリシー・ルールは、/etc/fapolicyd/rules.d/ディレクトリに格納できます。fagenrulesスクリプトは、このディレクトリ内のすべてのコンポーネント・ルール・ファイルを/etc/fapolicyd/compiled.rulesファイルにマージします。
/etc/fapolicyd/fapolicyd.trustのルールは、下位互換性のために引き続きfapolicydによって処理されます。