RedHawkLinux8 Rockeyベースのopenscapsの名称は、ssg-rl8-rl8-*.xmlです、実際のファイル名を以下に示します。
# ls -l /usr/share/xml/scap/ssg/content/ssg-rl8-*
-rw-r--r-- 1 root root 9946 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-cpe-dictionary.xml
-rw-r--r-- 1 root root 132401 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-cpe-oval.xml
-rw-r--r-- 1 root root 23062050 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-ds-1.2.xml
-rw-r--r-- 1 root root 23062392 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-ds.xml
-rw-r--r-- 1 root root 1789623 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-ocil.xml
-rw-r--r-- 1 root root 5192860 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-oval.xml
-rw-r--r-- 1 root root 14910145 9月 17 03:42 /usr/share/xml/scap/ssg/content/ssg-rl8-xccdf.xml
したがって、以下の様に実行できます。
# oscap xccdf eval --profile pci-dss --report ssg-rl8-ds-1.2.html /usr/share/xml/scap/ssg/content/ssg-rl8-ds-1.2.xml
WARNING: This content points out to the remote resources. Use `--fetch-remote-resources' option to download them.
WARNING: Skipping https://access.redhat.com/security/data/oval/com.redhat.rhsa-RHEL8.xml.bz2 file which is referenced from XCCDF content
--- Starting Evaluation ---
:
:
Result pass
W: oscap: Unable to convert unknown test oval:org.open-scap.cpe.rhel:tst:1008, skipping
RedHawk Linuxは、いくつかのカーネルレベルおよびユーザーレベルのセキュリティ機能を提供します。
これらの機能を組み合わせることで、RedHawkシステムを軍用グレードの強力なセキュリティを提供できます。
以下に、RedHawkの4つの主要なセキュリティ機能である
SELinux、
セキュアブート、
FIPS 140-2、および
STIGについて説明します。
- SELinux
Security-Enhanced Linux(SELinux)は、National Security Agency(NSA)とRedHat社によって開発されたカーネル変更とユーザースペースツールのセットです。
RHELおよびクローンをベースとするRedHawkカーネルにはSELinuxセキュリティモジュールが含まれており、SELinuxユーザースペースツールは標準のRedHawkLinux製品インストールの一部としてインストールされます。
RedHawkは、汎用のセキュリティ目標を満たすように設計されたセキュリティポリシー構成ファイルのデフォルトセットも提供します。
これらのポリシーは、サイト固有のセキュリティ要件に合わせて調整できます。
SELinuxカーネルセキュリティモジュールは、Linuxカーネルの各主要サブシステムの上に強力で柔軟な強制アクセス制御(MAC)アーキテクチャを実装します。
MACは、機密性と整合性に基づいて、情報をさまざまなセキュリティレベルに分離することを強制します。
セキュリティメカニズムを改ざんまたはバイパスするすべての試みをブロックします。
また、悪意のあるアプリケーションや欠陥のあるアプリケーションによって引き起こされる可能性のある損害を大幅に封じ込め、管理します。
- Secure Boot
セキュアブートは、ブートサイクル全体を通じてソフトウェアを検証するために、PC業界/相手先ブランド供給(OEM)のメンバーによって合意されたセキュリティ標準です。
ソフトウェアの検証はハードウェアレベルで始まり、UEFIファームウェアドライバー(ROM)、EFIブートローダー、カーネル、そして最後にドライバーまでスタックを上っていきます。
すべてのRedHawkカーネルは、安全なEFIブートローダーによって検証される安全な認証局(CA)ベースのキーによって署名されます。
RedHawkは、セキュアブートシステムで使用するカスタムRedHawkカーネルとドライバーを作成および署名するためのツールを提供します.
セキュアブートは、ブートプロセスに関連するすべてのソフトウェアに署名するために使用される厳重に保護された秘密鍵によって、署名された信頼できるソフトウェアのみをシステムにロードします。
これにより、悪意のある攻撃者が信頼できないソフトウェアやルートキットなどの悪意のあるマルウェアをシステムに追加するのを防ぎます。
バイナリに関連付けられた信頼できる署名がない場合、署名されていないソフトウェアはシステムによって即座に拒否されます。
したがって、ファームウェア、カーネル、および基盤となるすべてのドライバーは、常に高度な整合性を維持します。
- FIPS 140-2
(FIPS140-2,最新はFIPS140-3)
連邦情報処理標準(FIPS)140-2のドキュメントは、暗号化モジュールを認定するセキュリティ標準です。
FIPSは、機密データを保護するための重要な暗号化標準を定義しています。
RHELおよびクローンをベースとするRedHawkは、FIPSプロトコル内で使用されるすべての暗号化方式をサポートしています。
RedHawkカーネルは、すべての暗号化が必要なFIPSセキュリティレベルに基づいているFIPS準拠モードでの起動をサポートします。
FIPS標準は、さまざまな業界、セキュリティ、および管理のニーズをカバーする4つのセキュリティレベルを提供します。
RedHawkカーネルは、FIPS関連のパッケージを維持するRHELおよびクローンソフトウェアと完全に互換性があります.
FIPS140-2は起動時に(オプションのfips=1によって)有効になり、必要な暗号化モジュールがRedHawkカーネルにロードされます。
これらのモジュールは、暗号およびメッセージ認証コードの暗号化キーの生成を担当します。
FIPSアルゴリズムは、システム内のハードウェアベースのエントロピーに依存して暗号化キーを生成します。
FIPSを実施することにより、RedHawkシステムは、政府機関やサードパーティベンダーが使用する暗号化標準を実施できます。
- STIG
セキュリティ技術実装ガイド(STIG)は、全体的なセキュリティを強化するために、論理設計、ネットワーク、サーバー、およびコンピューターを使用してセキュリティプロトコルを標準化するためのサイバーセキュリティ手法です。
STIGプロトコルは、国防総省(DoD)によって開発および公開されています。
STIGは、ファイルシステムの種類や暗号化の定義からネットワークセキュリティプロトコルまで、RedHawkシステム全体を網羅するプロトコルを定義しています。
STIGルールは、厳格なセキュリティ基準を満たすためにRedHawkユーザーレベルパッケージのコンプライアンスを強制します。
RedHawkは、RedHawk ArchitectツールおよびSTIG Viewerを介してSTIG準拠を提供します。
Architectは、さまざまなSTIGプロトコルに準拠するようにRedHawkシステム全体を構成するために使用できる強力なツールです。
いくつかの異なるSTIGプロトコルから選択でき、Architectはシステムを準備し、システムの整合性を検証するためにSTIGコンプライアンステストの実行を開始します。
DoDは、Architectに直接渡して安全性の高いRedHawkシステムを作成できるマシン読み取り可能なXMLファイルでSTIGガイドラインをリリースします。
まとめ
RedHawkは、国防総省、国家安全保障局、および米国国立標準技術研究所が推奨するセキュリティプロトコルへの高度な準拠を維持しています。
この高度なコンプライアンスにより、RedHawkは政府機関とそのサードパーティベンダーの最も厳しい要件を満たすことができます。
これらの機能は、重要なRedHawkシステムの攻撃対象領域を減らすことにより、ITインフラストラクチャを改善します。
RedHawkは、Common Criteria標準(EAL3およびEAL4)およびFIPSセキュリティ認定を維持するRed Hat Enterprise Linux(RHEL)ソフトウェアと完全に互換性があります。
RHELの認定はRedHawkによって自動的には継承されませんが、RedHawkとRHELの緊密な互換性のおかげで、同じ標準に対するRedHawk認定は追加の努力で可能になるはずです。
RedHawk Linux Security Packについて(PDF)(2022.05.18)
Suzaku(朱雀) Anti Virus は RedHawkLinux 上で動作する
オンプレミスタイプのアンチウイルスソフトウエアです。
リアルタイムシステムは、インターネットなどの外界からの接続が遮断された環境で使用されることが一般的でしたが、データ取り込みや、サードパーティ製アプリケーションのダウンロード等、外部との接続を要する機会が増えています。
また、企業、官公庁へのセキュリティ攻撃は年々増加の一途を辿っており、リアルタイム OS と言えども、無視できない状況にあります。
このようなネットワークセキュリティを必要とするリアルタイムOS用に開発されたAnti VirusソフトウェアがSuzaku(朱雀)です。
機能と特徴
- RedHawk Linux 7.x、8.x に対応
- ウイルス検索エンジンおよび定義ファイルは法人向けセキュリティソフトベンダーの Sophos による OEM 供給
- 閉鎖環境でも定義ファイル更新が可能なメディア(ファイル)供給による提供 (2回/年 )
- ロングライフサポートによる、同一 OS 上の長期間のウイルス定義ファイル供給
- 任意のタイミングでディスクスキャン(オンデマンドスキャン) を実行
- 任意設定による、常時ファイルアクセス監視
- システムの閉鎖性とリアルタイムアプリケーションの実行を優先したシンプルな機能
Genbu(玄武)STIGs Configurator
セキュリティ技術実装ガイド (STIGs SecurityTechnical Information Guides) は、国防総省 (DoD) の機関である国防情報システム局 (DISA) による、 コンピュータ、ネットワーク、プロトコルなどの情報システム / ソフトウエアを保護、管理するためのセキュリティガイドラインです。
STIGs コンプライアンスに準拠したセキュリティガイドラインは数百もあり、非常に複雑です。
Genbu は RedHawk 上での STIGs の設定を容易に実現するための設定ツールとして用意されたオープンソースパッケージです。
機能と特徴
- RedHawk Linux 8.x 対応
- RedHawk 8.x 上で、OpenSCAP および SCAP Security Guide を利用可能にする最新のセキュリティーポリシーコレクションとそのパッチ
- Genbu で設定した設定コンプライアンスのコンテンツを検証 し、スキャンおよび評価に基づいてレポート (OpenSCAP Evaluation Report) およびガイドを生成
- レポート項目はシステム設定 ( アカウント、ソフトウエアメインテナンス、GRUB2、シスログ設定等 )、サービス (NTP, セキュリティサービス、SSH サーバ ) など多岐に渡って評価
- 項目毎にセキュリティの重大性を、high、medium、low に クラス分けし、結果を "pass"、"fail" で表示し、コンプライアンアスアを出力
RedHawk 実行時のケーパビリティ設定ファイルの違い(HTML)(2022.05.18)
Linuxは、下記の異なる特権継承モデルを同時にサポートしています。
- レガシー
root(UID=0)ユーザだけが特権を持ち、その他のユーザは非特権モードでのみ動作するUNIX由来のレガシィアーキテクチャです。
実行ファイルに、set-user-ID/set-group-IDビット を使って特権を付与します。
- アンビエントケーパビリティ(Linux 4.3以降)
set-user-ID/set-group-IDビットを付与されていない非特権プログラムをexecve(2)した際に、子プロセスに継承されるケーパビリティセットモデルです。
(set-user-ID/set-group-IDビットを付与しUIDまたはGIDを変更するプログラムを実行するか、ファイル機能が設定されているプログラムを実行すると、ケーパビリティセットがクリアされます。 )
execve(2)が呼び出されると、アンビエントケーパビリティが許可セット(permitted set)に追加され、有効セット(effective set)に割り当てられます。
アンビエントケーパビリティにより、execve(2)中にプロセスのpermitted/effectiveケーパビリティを付与する場合にはld.so(8)で説明されているセキュア実行モードをトリガーしません。
ケーパビリティを付与されたコマンドのリストをRedHawk 実行時のケーパビリティ設定ファイルの違い(HTML)に示します。
- POSIX.1e(PDF)
POSIX標準規格の一種で、アクセス制御リスト、監査、特権(ケーパビリティ)の分離、強制アクセス制御、および情報ラベルメカニズムのための「オープンシステム」へのセキュリティインターフェイスを定義します。
アクセス制御リストについては、chacl(1),getfacl(1),setfacl(1)を参照して下さい。
監査については、man -k auditの出力結果を参照してください。
特権の分離については、ケーパビリティによって実装されています。
RedHawkでは、ロールベースのPAMケーパビリティを独自にサポートしています(詳細は RedHawkLinux_UsersGuide(PDF) Chapter 13のPluggable Authentication Modules (PAM)部分の説明をご参照ください。)。
強制アクセス制御および情報ラベルメカニズムは、SELinux/Apparmerによって実装されています。
STIG Viewerについて(2024.03.15)
STIGs(Security Technical Implementation Guides)は、米国国防総省(DoD)によって開発および公開されているセキュリティ技術実装ガイドで、セキュリティ設定チェックリスト記述形式(XCCDF)で記述されています。
DoD/DISA STIG Viewer ツールは、1 つ以上の XCCDF (拡張可能な構成チェックリスト記述形式) で書式設定された SCG を、人間が読みやすいわかりやすい形式で表示する機能を提供します。
これは、DoD用にDISAによって開発され、公開されたSSTIと互換性があります。STIG Viewer の目的は、STIG コンテンツへのアクセスを容易にする直感的なグラフィカル ユーザー インターフェイスを提供し、現在の SCG を表示する方法 (Web ブラウザでスタイル シートを使用) では利用できない追加の検索および並べ替え機能を提供することです。
STIG Viewerは、
DoD CYBER EXCHANGE
のサイトからダウンロードし、RedHawkで利用できます。
また、実装ガイドは、
https://public.cyber.mil/stigs/downloads/
からダウンロードでき、
2024/01/22 公開の
Red Hat Enterprise Linux 8 STIG - Ver 1, Rel 13

(RHEL8用 Ver1 Rel13)では375のプロファイルがあります。
sudoの脆弱性について
「sudo」に、パスワードなしで特権の獲得を許す脆弱性
CVE-2021-3156
が見つかりました。
この欠陥は、認証なしでsudoコマンドを実行できる(デフォルトでは、すべてのローカルユーザーがsudoを実行できる)ローカルユーザーによって悪用される可能性があります。
この欠陥の悪用に成功すると、特権の昇格につながる可能性があります。
以下のRedHawk製品およびコンテナは、直接影響を受けるか、影響を受ける可能性があります。