1. リリース・ノートfor Oracle Linux 9.5
  2. 非推奨となった機能
  3. セキュリティ

セキュリティ

次のセキュリティ関連の機能は、Oracle Linux 9では非推奨です。

OVALデータ形式

OpenSCAPスイートで使用されるOpen Vulnerability Assessment Language (OVAL)データ形式は非推奨です。宣言型セキュリティ・データは、OVALの後継であるCommon Security Advisory Framework (CSAF)形式で提供されるようになりました。

引数を指定しないupdate-ca-trustの使用

引数を指定せずにupdate-ca-trustコマンドを使用してCAトラスト・ストアを更新することは非推奨です。update-ca-trust extractコマンドを使用して、CAトラスト・ストアを更新します。

信頼できるルートCAファイルを使用するためのSTunnelクライアントの構成

STunnelクライアントのCAFilesディレクティブを構成するオプションは、BEGIN TRUSTED CERTIFICATE形式の信頼できるルート証明書を含むファイルを指します。CAfile = /etc/pki/tls/certs/ca-bundle.trust.crtを使用する場合は、場所をCAfile = /etc/pki/tls/certs/ca-bundle.crtに変更します。

NSSで非推奨のアルゴリズム

次のアルゴリズムは、ネットワーク・セキュリティ・サービス(NSS)暗号化ライブラリでは非推奨です。

  • デジタル署名アルゴリズム(DSA)

  • SEED

かわりにRSA、ECDSA、SHB-DSA、ML-DSA、またはFN-DSAを使用します。

pam_ssh_agent_auth

pam_ssh_agent_authは非推奨です。

scap-workbench

scap-workbenchは非推奨です。

oscap-anaconda-addon

oscap-anaconda-addonは非推奨です。

/etc/system-fips

FIPSモードの指定に使用された/etc/system-fipsファイルは削除されます。Oracle Linux をFIPSモードでインストールするには、システムのインストール時に、fips=1パラメータをカーネル・コマンドラインに追加します。fips-mode-setup --checkコマンドを使用して、Oracle LinuxがFIPSモードで動作するかどうかを確認できます。

libcrypt.so.1

libcrypt.so.1ライブラリは非推奨です。

SHA-1アルゴリズム

SHA1アルゴリズムはOracle Linux 9では非推奨です。SHA-1ハッシュ・アルゴリズムを使用したデジタル署名は安全と見なされなくなったことから、Oracle Linux 9システムのデフォルトでは許可されていません。Oracle Linux 9は、セキュリティ関連のユースケースでSHA-1を使用しないように更新されました。

ただし、HMAC-SHA1メッセージ認証コードと汎用固有識別子(UUID)の値は、引き続きSHA-1を使用して作成できます。

既存またはサード・パーティの暗号化署名の検証にSHA-1が必要な場合は、次のようにSHA-1を有効にできます。 

sudo update-crypto-policies --set DEFAULT:SHA1

代替として、システム全体の暗号化ポリシーをLEGACYポリシーに切り替えることができます。ただし、このポリシーでは、安全でない他のアルゴリズムも有効になっているため、システムを脆弱にするリスクがあります。

さらに、SECLEVEL=2でのSHA-1アルゴリズムの使用は、OpenSSLでは非推奨です。

SCPプロトコル

scpユーティリティでは、セキュア・コピー・プロトコル(SCP)はデフォルトでSSHファイル転送プロトコル(SFTP)に置き換えられます。同様に、SCPはlibsshライブラリで非推奨です。

Oracle Linux 9では、OpenSSHスイートでSCPを使用しません。

OpenSSL暗号化アルゴリズム

  • MD2

  • MD4

  • MDC2

  • Whirlpool

  • RIPEMD160

  • Blowfish

  • CAST

  • DES

  • IDEA

  • RC2

  • RC4

  • RC5

  • SEED

  • PBKDF1

これらのアルゴリズムの実装は、OpenSSLのレガシー・プロバイダに移動されました

レガシー・プロバイダをロードし、非推奨のアルゴリズムのサポートを有効にする方法は、/etc/pki/tls/openssl.cnf構成ファイルを参照してください。

Digest-MD5

Simple Authentication Security Layer (SASL)フレームワークのDigest-MD5認証メカニズムは非推奨です。

/etc/system-fipsファイル

/etc/system-fipsファイルは、システムでFIPSモードを指定するために使用されていました。このファイルはOracle Linux 9で削除されます。

Oracle Linux 9をFIPSモードでインストールするには、システムのインストール時に、fips=1パラメータをカーネル・コマンドラインに追加します。Oracle Linux 9がFIPSモードで動作しているかどうかを確認するには、fips-mode-setup --checkコマンドを使用します。

libcrypt.so.1

libcrypt.so.1 cryptogarhicライブラリは非推奨です。

fapolicyd.rulesファイル

/etc/fapolicyd/fapolicyd.rulesファイルは非推奨です。fapolicydのポリシー・ルールは、/etc/fapolicyd/rules.d/ディレクトリに格納できます。fagenrulesスクリプトは、このディレクトリ内のすべてのコンポーネント・ルール・ファイルを/etc/fapolicyd/compiled.rulesファイルにマージします。

/etc/fapolicyd/fapolicyd.trustのルールは、下位互換性のために引き続きfapolicydによって処理されます。

OpenSSLのパディングなしのRSA暗号化

FIPSモードでのOpenSSLのパディングなしのRSA暗号化は受け入れられなくなりました。ただし、パディングを使用しないRSA (RSASVE)によるキーのカプセル化は、引き続きOpenSSLでサポートされます。

OpenSSL Engines API

Engines APIは、OpenSSL 3.0 TLSツールキットで非推奨になりました。かわりに、pkcs11-providerプロバイダAPIを使用します。同様に、StunnelでのOpenSSLエンジンAPIを使用することも非推奨です。

openssl-pkcs11

非推奨のOpenSSL Engines APIに関連するopenssl-pkcs11 (engine_pkcs11)パッケージは非推奨になりました。かわりにpkcs11-providerパッケージを使用します。