1. リリース・ノートfor Oracle Linux 9.5
  2. テクノロジ・プレビュー
  3. セキュリティ

セキュリティ

次のセキュリティ機能がテクノロジ・プレビューとして提供されています。

KTLS

Oracle Linux 9は、テクノロジ・プレビューとしてkernel Transport Layer Security (KTLS)を提供します。

LinuxカーネルTLS (KTLS)は、AES-GCM暗号のTLSレコードを処理します。KTLSは、この機能をサポートするNICにTLSレコードの暗号化をオフロードするためのインタフェースも提供します。

コンパイル時にenable-ktls構成オプションを使用すると、OpenSSL 3.0でKTLSを使用できます。

更新されたgnutlsパッケージでは、暗号化されたチャネルでデータ転送を高速化するためにKTLSを使用できます。KTLSを有効にするには、modprobeコマンドを使用してtls.koカーネル・モジュールを追加し、システム全体の暗号化ポリシーの新しい構成ファイル/etc/crypto-policies/local.d/gnutls-KTLS.txtを、次の内容で作成します: 

[global]
ktls = true

AES-GCM暗号スイートのセキュリティに影響するため、gnutlsでTLS KeyUpdateメッセージを介してトラフィック・キーを更新することはできません。

OpenSSLのQUICプロトコル

OpenSSLクライアントは、テクニカル・プレビューとしてQUICトランスポート・レイヤー・ネットワーク・プロトコルを使用できます。

io_uring非同期I/Oインタフェース

使用可能ですが、io_uring非同期I/Oインタフェースはデフォルトで無効になっています。この機能を有効にするには、sysctlコマンドの実行時に、kernel.io_uring_disabled変数を次のいずれかの値に設定します:

  • 0: すべてのプロセスで、通常どおりio_uringインスタンスを作成できます。

  • 1: io_uringの作成は、権限のないプロセスでは無効です。この設定では、io_uring_setup-EPERMエラーで失敗します。正常に完了するのは、呼出し側プロセスがCAP_SYS_ADMIN機能によって権限付与されている場合のみです。ただし、既存のio_uringインスタンスは引き続き使用できます。

  • 2 (デフォルト): io_uringの作成は、すべてのプロセスに対して無効になります。この設定では、io_uring_setupは常に-EPERMで失敗します。ただし、既存のio_uringインスタンスは引き続き使用できます。

この機能を使用するには、匿名inodeに対してmmapシステム・コールを有効にするSELinuxポリシーの更新バージョンも必要です。

io_uringのサポートはUEK R6U3のUEKで提供されています。