セキュリティ

このOracle Linux 9リリースでは、セキュリティに関連する次の機能、拡張機能および変更が導入されています。

--disable-polkitによるpcscd構成の強化

pcscdサービスに--disable-polkitオプションが追加され、PolicyKit認可フレームワークをユーザーが無効にできるようになりました。この機能強化により、初期RAMディスクなどの限定的な環境でPKCS #11デバイスにアクセスでき、PKCS #11デバイスを使用して、LUKS暗号化ボリューム起動時のロック解除を自動化できます。

pkcs11-tool出力の強化

pkcs11-tool -Lおよびpkcs11-tool -Oコマンドの出力にuri:フィールドが含まれるようになり、LUKS暗号化ドライブをPKCS #11デバイスで自動的にロック解除するためのpkcs11 Clevis pinを構成する際に使用できるURI情報が提供されるようになりました。

crypto-policiesのCBC暗号

crypto-policiesでCBC暗号スイートが有効になっていない場合は、crypto-policiesopenssl -CBC CipherStringディレクティブを使用して、OpenSSLのCBC暗号スイートが無効化されるようになりました。

nettleライブラリをバージョン3.10.1に更新

nettleライブラリ・パッケージがバージョン3.10.1に更新されました。

この更新には、いくつかの重要な機能強化と変更が含まれています:

  • 特定の暗号化操作のパフォーマンス向上。
  • 新しい決定論的乱数生成器であるDRBG-CTR-AES256の追加。
  • 新しいOAEPパディング・スキームを使用するRSA暗号化/復号化方法であるRSA-OAEPの導入。
  • SHA-3ファミリの任意長ハッシュ関数であるSHAKE-128の追加。
  • SHAKE-128およびSHAKE-256のストリーミングAPI。
  • MD5アセンブリの削除(わずかなパフォーマンスの影響の可能性あり)

詳細は、https://git.lysator.liu.se/nettle/nettle/-/blob/master/NEWS?ref_type=headsのアップストリーム情報を参照してください。

Rsyslogをバージョン8.2412.0に更新

rsyslogパッケージがバージョン8.2412.0に更新されました。

この更新では、ルールセットをimjournalモジュールにバインドする機能など、様々な修正および拡張機能が提供されています。これにより、メイン・メッセージ・キューの負荷が軽減され、リソース使用が最小化されます。

OpenSCAPをバージョン1.3.11に更新

OpenSCAPがバージョン1.3.11に更新されました。

この更新には、イメージ・モードOSとして実行するための強化型ブート可能コンテナ・イメージを構築するためにコンテナ・ファイルで使用する新しいスクリプトoscap-imが含まれています。

この更新には、次のような複数のメンテナンスおよびバグ修正が含まれています:

  • Python 3.13互換性の修正
  • RPMプローブのRPMデータベース・パスの修正
  • xlinkネームスペースが存在することの確認、およびカスタマイズしたファイルを使用したDISAコンテンツによるOpenSCAPスキャンの有効化
  • "oscap info"での無用なコンポーネント参照情報の出力の停止

詳細は、https://github.com/OpenSCAP/openscap/releases/tag/1.3.11のアップストリーム・リリース・ノートを参照してください。

Clevisをバージョン21に更新

clevisパッケージがバージョン21に更新されました。

この更新では、PKCS #11デバイスのサポートが追加され、PKCS #11デバイスを使用してLUKS暗号化ボリュームをロック解除するためのclevis-pin-pkcs11サブパッケージ、clevis-udisks2サブパッケージに対する2つのチェック、およびアドレス使用中エラーを防ぐ修正など、様々な機能拡張およびバグ修正が提供されています。

新しいKeylimeポリシー管理ツール

新しいkeylime-policyツールは、Keylimeランタイム・ポリシーとメジャー・ブート・ポリシーのすべての管理タスクを統合し、ポリシーの生成パフォーマンスを向上させます。

/dev/hfi1_0に対するSELinuxのタイプ割当て

SELinuxで、hfi1_device_tタイプを/dev/hfi1_0デバイスに割り当てて、アクセスを適切に制御できるようになりました。

システム・サービスに対するSELinuxの制限の強化

次のsystemdサービスを制限する新しいルールが追加されて、SELinuxのポリシーが強化されました:

  • iio-sensor-proxy
  • power-profiles-daemon
  • switcheroo-control
  • samba-bgqd

CIS Server Level 2のベンチマーク・ルール「Ensure No Daemons are Unconfined by SELinux」に準拠していないunconfined_service_tというラベルではなく、制限付きSELinuxのコンテキストでこれらのサービスが動作するようになりました。これらのサービスをSELinuxのEnforcingモードで実行することで、より安全でコンプライアンスに準拠したシステムになります。

SCAPセキュリティ・ガイドを0.1.76に更新

SCAPセキュリティ・ガイドがバージョン0.1.76に更新されました。

主な変更点は次のとおりです:
  • Oracle Linux 9 STIGプロファイルが、公式のDISA Oracle Linux 9 STIGバージョン1、リリース1と同期されました。
  • require_singleuser_authルールで、機能強化のためにsystemdオーバーライド・メカニズムが使用されるようになりました。
  • 承認済SSH暗号のチェックが更新されて、最新のSTIGポリシー・ガイドラインと一致するようになりました。

Keylime HTTPSの失効通知

HTTPS接続に対してよりセキュアな構成を使用するように、Keylimeコンポーネントの失効通知Webフックが強化されました。以前は、システムにインストールされたCA証明書のみを失効通知で使用していました。現在は、HTTPS接続に使用するCA証明書を、trusted_server_ca構成オプションまたはシステム・トラスト・ストアに追加して構成できるようになりました。

logrotateのignoreduplicatesオプション

ignoreduplicatesオプションがlogrotateパッケージで使用できるようになりました。このオプションでは、logrotate構成内の重複するファイル・パスがすべて無視されますが、デフォルトでは無効になっています。