セキュリティ
このOracle Linux 9リリースでは、セキュリティに関連する次の機能、拡張機能および変更が導入されています。
ハッシュ合計計算でlibkcapi
によるファイル名のターゲット指定が可能
libkcapi
パッケージには、ハッシュ合計計算でターゲット・ファイル名を指定する新しい-T
オプションが含まれています。このオプションは、HMACファイルを指定し、HMACファイルで指定されたターゲット・ファイル名をオーバーライドする-c
オプションとともに使用する必要があります。次に例を示します:
$ sha256hmac -c <hmac_file> -T <target_file>
SSHでメッセージ認証コードを有効にするように更新された暗号化ポリシー
システム全体の暗号化ポリシー(crypto-policies
)は、SSHプロトコルのメッセージ認証コード(MAC)の処理を制御するオプションで構成できます。crypto-policies
オプションssh_etm
は、トライステートのetm@SSH
オプションになりました。以前のssh_etm
オプションは非推奨になりました。
ssh_etm
には、次のいずれかの値を設定できます:
ANY
:encrypt-then-mac
とencrypt-and-mac
の両方のMACを許可します。DISABLE_ETM
:encrypt-then-mac
MACを防止します。DISABLE_NON_ETM
:encrypt-then-mac
を使用しないMACを防止します。
暗黙的なMACを使用する暗号は、認証された暗号化を使用するため、常に許可されます。
semanage fcontext
によるローカル・ファイル・コンテキストの変更の正しいソート
semanage fcontext -l -C
コマンドが更新され、file_contexts.local
ファイルのルールが古いものから新しいものに正しい順序で表示され、restorecon
コマンドを使用するとSELinuxルール管理が改善され、エントリが経過時間ごとに処理されます。
サービス用に更新されたSELinuxポリシー
新しいルールがSELinuxポリシーに追加され、次のsystemd
サービスを制限します:
-
nvme-stas
-
realmd
この更新の影響を受けるサービスは、unconfined_service_t
SELinuxラベルでは実行されなくなり、SELinux強制モードで正常に実行できます。
chronyd-restricted
サービス用に更新されたSELinuxポリシー
SELinuxポリシーには、chronyd-restricted
サービスを制限するルールが含まれています。サービスは、SELinux強制モードで正常に実行されます。
バージョン3.6に更新されたSELinuxユーザー領域
SELinuxユーザー領域コンポーネント・パッケージがバージョン3.6に更新されました。次のコンポーネント・パッケージが更新されました:
-
libsepol
-
libselinux
-
libsemanage
-
policycoreutils
-
checkpolicy
-
mcstrans
主な変更点は次のとおりです:
- SELinux共通中間言語(CIL)での
deny
ルールの追加 - CILでの
notself
およびother
キーワードの追加。 - ポリシーのリロードの数を出力する新しい
getpolicyload
ユーティリティ。
バージョン3.8.3に更新されたGnuTLS
gnutls
パッケージがバージョン3.8.3に更新されました。主な変更点は次のとおりです:
gnutls_hkdf_expand
関数は、RFC 5869 2.3に準拠するために、ハッシュ・ダイジェスト・サイズの255倍以下の長さの引数のみを受け入れます。TLS PSK
ユーザー名の長さ制限が65535文字に増えました。gnutls_session_channel_binding
API関数は、RFC9622 4.2に従ってGNUTLS_CB_TLS_EXPORTER
がリクエストされると、さらにチェックを実行するようになりました。GNUTLS_NO_STATUS_REQUEST
フラグおよび%NO_STATUS_REQUEST
優先度修飾子が追加され、クライアント側でstatus_request
TLS拡張を無効にできるようになりました。- TLSバージョンが1.3より古い場合、GnuTLSは暗号仕様の変更メッセージの内容が1であることを確認します。
- ClientHelloメッセージのTLS拡張は、フィンガープリントを強化するためにシャッフルされます。
- GnuTLSは、PKCS #11トークンに対してEdDSAキー生成を実行できます。
バージョン3.9.1に更新されたnettle
nettle
パッケージがバージョン3.9.1に更新されました。主な変更点は次のとおりです:
- バルーン・パスワード・ハッシュが含まれています。
- SM4ブロック暗号が含まれています。
- SIV-GCM認証暗号化モードが含まれています。
- OCB認証暗号化モードが含まれています。
- 新しい関数
md5_compress
、sha1_compress
、sha256_compress
、sha512_compress
がエクスポートされています。 - x86_64プラットフォームでのSHA-256ハッシュ関数のパフォーマンスが向上しました。
- x86_64プラットフォームでのPoly1305ハッシュ関数のパフォーマンスが向上しました。
使用可能なOracle Linux 9 OpenSSL FIPSプロバイダ
OpenSSLは、fips.so
共有ライブラリをFIPSプロバイダとして使用します。この更新により、認定のために米国国立標準技術研究所(NIST)に提出された最新バージョンのfips.so
は、別のopenssl-fips-provider
パッケージで出荷されます。このパッケージにより、将来のバージョンのOpenSSLで、動作保証されているコードまたは認定中のコードが使用されるようになります。
プロバイダ構成用のOpenSSLドロップイン・ディレクトリ
OpenSSL TLSツールキットは、暗号化アルゴリズムを提供するモジュールのインストールおよび構成のためのプロバイダAPIとのアトミックな統合を提供します。プロバイダ固有の構成は、/etc/pki/tls/openssl.d
ディレクトリ内の個別の.conf
ファイルで定義できます。
バージョン0.25.3に更新されたp11-kit
p11-kit
パッケージがバージョン0.25.3に更新され、PKCS#11モジュールを管理するためのp11-kit
ツール、信頼ポリシー・ストアを操作するためのtrust
ツール、およびp11-kit
ライブラリが含まれています。主な変更点は次のとおりです:
-
PKCS#11バージョン3.0との統合が追加されました
-
pkcs11.h
ヘッダー・ファイル:-
ChaCha20/Salsa20およびPoly1305メカニズムと属性が追加されました
-
メッセージベースの暗号化にAES-GCMメカニズム・パラメータが追加されました
-
-
p11-kit
ツール:-
トークンのオブジェクトをリストおよび管理するコマンド(
list-tokens
、list-mechanisms
、list-objects
、import-object
、export-object
、delete-object
およびgenerate-keypair
)が追加されました -
トークンのPKCS#11プロファイルを管理するコマンド(
list-profiles
、add-profile
、およびdelete-profile
)が追加されました -
マージされた構成を出力するための
print-config
コマンドが追加されました
-
-
trust
ツール:-
.p11-kit
ファイルの形式を確認するcheck-format
コマンドが追加されました
-
バージョン1.4.0に更新されたlibkcapi
libkcapi
ライブラリがバージョン1.4.0に更新されました。主な変更点は次のとおりです:
-
sm3sum
およびsm3hmac
ツールが追加されました。 -
kcapi_md_sm3
およびkcapi_md_hmac_sm3
APIが追加されました。 -
便利なSM4関数が追加されました。
-
リンク時間最適化(LTO)とLTO回帰テストが追加されました
-
kcapi-enc
を使用した任意のサイズのAEAD暗号化のサポートが修正されました。
ユーザーおよびグループの作成用にOpenSSHによるsysusers.d形式の使用
OpenSSHでは、sysusers.d
形式を使用してシステム・ユーザーを宣言するようになりました。以前は、この目的のために静的useradd
スクリプトが使用されていました。
OpenSSHによる認証遅延制限の追加
OpenSSHは、ログイン失敗後にレスポンスを人為的に遅延させ、ユーザー列挙攻撃を防止します。人為的遅延の上限は、権限アクセス管理(PAM)処理などでリモート認証に時間がかかりすぎる場合に適用されます。
バージョン5.71に更新されたstunnel
stunnel
TLS/SSLトンネリング・サービスがバージョン5.71に更新されました。
主な変更点は次のとおりです:
-
最新のPostgreSQLクライアントとの統合。
- ソフトウェア偽装用のカスタム
connect
プロトコル・ネゴシエーション・ヘッダーを挿入するための新しいprotocolHeader
サービス・レベル・オプション。 -
クライアントSMTPプロトコル・ネゴシエーションHELO/EHLO値を制御するための新しい
protocolHost
オプション。 -
新しいクライアント側の
protocol = ldap
可用性。 -
セッションを再開できるかどうかを制御するための新しい
sessionResume
サービス・レベル・オプション。 -
CApath
またはCAfile
を使用してサーバー・モードでクライアント証明書をリクエストするための拡張オプション。 -
ファイルの読取りおよびロギングのパフォーマンスが向上しました。
-
retry
オプションの構成可能な遅延が追加されました。 -
verifyChain
がクライアント・モードに設定されている場合、OCSPステープリングがリクエストおよび検証されます。 -
OCSPステープリングを常にサーバー・モードで使用できます。
-
未確定なOCSP検証でTLSネゴシエーションが中断されます。これを無効にするには、
OCSPrequire = no
を設定します。
バージョン3.1.2に更新されたaudit
audit
パッケージがバージョン3.1.2に更新されました。主な変更点は次のとおりです:
-
auparse
ライブラリが名前なしおよび匿名ソケットを解釈するようになりました。 -
ausearch
およびaureport
コマンドのstart
およびend
オプションにキーワードthis-hour
が追加されました。 -
シグナルのわかりやすいキーワードが
auditctl
コマンドに追加されました。 -
auparse
コマンドが破損したログをより適切に処理するように強化されました。 -
ProtectControlGroups
オプションがauditd
サービスでデフォルトで無効になりました。 -
除外フィルタのルール・チェックが修正されました。
-
OPENAT2
フィールドの解釈が改善されました。 -
audispd af_unix
プラグインがスタンドアロン・プログラムに移動されました。 -
Pythonバインディングが更新され、Simplified Wrapper and Interface Generator (SWIG)の問題を解決するためのPython APIからの監査ルールの設定が無効になりました。
io_uring
非同期I/O API機能が追加されました。
バージョン8.2310に更新されたrsyslog
Rsyslogがバージョン8.2310に更新されました。主な変更点は次のとおりです:
-
カスタマイズ可能なTLS/SSL暗号化設定
Rsyslogには、セキュリティと柔軟性を高めるために異なるCA証明書、秘密キー、公開キーおよびCRLファイルを指定するなど、接続ごとに一意のTLS/SSL設定を構成する機能が含まれています。詳細および使用方法については、
rsyslog-doc
パッケージで提供されているドキュメントを参照してください。 -
機能削除の改善
Rsyslogには、機能を削除する際の動作を定義する新しいグローバル・オプションが含まれています:-
libcapng.default
: 機能の削除中にエラーが返された場合のRsyslogの動作を定義します。デフォルト値はon
で、libcapng
に関連するエラーが発生するとRsyslogが終了します。 -
libcapng.enable
Rsyslogが起動時に機能を削除するかどうかを制御します。このオプションを無効にすると、libcapng.default
は影響を受けず、機能の削除は無効になります。
-