Concurrnt Real-Time : Realtime Technical Documents(Security)

RedHawk Linuxは、いくつかのカーネルレベルおよびユーザーレベルのセキュリティ機能を提供します。
これらの機能を組み合わせることで、RedHawkシステムを軍用グレードの強力なセキュリティを提供できます。
以下に、RedHawkの4つの主要なセキュリティ機能であるSELinux、セキュアブート、FIPS 140-2、およびSTIGについて説明します。

SELinux
Security-Enhanced Linux（SELinux）は、National Security Agency（NSA）とRedHat社によって開発されたカーネル変更とユーザースペースツールのセットです。
RHELおよびクローンをベースとするRedHawkカーネルにはSELinuxセキュリティモジュールが含まれており、SELinuxユーザースペースツールは標準のRedHawkLinux製品インストールの一部としてインストールされます。
RedHawkは、汎用のセキュリティ目標を満たすように設計されたセキュリティポリシー構成ファイルのデフォルトセットも提供します。
これらのポリシーは、サイト固有のセキュリティ要件に合わせて調整できます。
SELinuxカーネルセキュリティモジュールは、Linuxカーネルの各主要サブシステムの上に強力で柔軟な強制アクセス制御（MAC）アーキテクチャを実装します。
MACは、機密性と整合性に基づいて、情報をさまざまなセキュリティレベルに分離することを強制します。
セキュリティメカニズムを改ざんまたはバイパスするすべての試みをブロックします。
また、悪意のあるアプリケーションや欠陥のあるアプリケーションによって引き起こされる可能性のある損害を大幅に封じ込め、管理します。

Secure Boot
セキュアブートは、ブートサイクル全体を通じてソフトウェアを検証するために、PC業界/相手先ブランド供給（OEM）のメンバーによって合意されたセキュリティ標準です。
ソフトウェアの検証はハードウェアレベルで始まり、UEFIファームウェアドライバー（ROM）、EFIブートローダー、カーネル、そして最後にドライバーまでスタックを上っていきます。
すべてのRedHawkカーネルは、安全なEFIブートローダーによって検証される安全な認証局（CA）ベースのキーによって署名されます。
RedHawkは、セキュアブートシステムで使用するカスタムRedHawkカーネルとドライバーを作成および署名するためのツールを提供します.
セキュアブートは、ブートプロセスに関連するすべてのソフトウェアに署名するために使用される厳重に保護された秘密鍵によって、署名された信頼できるソフトウェアのみをシステムにロードします。
これにより、悪意のある攻撃者が信頼できないソフトウェアやルートキットなどの悪意のあるマルウェアをシステムに追加するのを防ぎます。
バイナリに関連付けられた信頼できる署名がない場合、署名されていないソフトウェアはシステムによって即座に拒否されます。
したがって、ファームウェア、カーネル、および基盤となるすべてのドライバーは、常に高度な整合性を維持します。

FIPS 140-2 (FIPS140-2,最新はFIPS140-3)
連邦情報処理標準（FIPS）140-2のドキュメントは、暗号化モジュールを認定するセキュリティ標準です。
FIPSは、機密データを保護するための重要な暗号化標準を定義しています。
RHELおよびクローンをベースとするRedHawkは、FIPSプロトコル内で使用されるすべての暗号化方式をサポートしています。
RedHawkカーネルは、すべての暗号化が必要なFIPSセキュリティレベルに基づいているFIPS準拠モードでの起動をサポートします。
FIPS標準は、さまざまな業界、セキュリティ、および管理のニーズをカバーする4つのセキュリティレベルを提供します。
RedHawkカーネルは、FIPS関連のパッケージを維持するRHELおよびクローンソフトウェアと完全に互換性があります.
FIPS140-2は起動時に(オプションのfips=1によって)有効になり、必要な暗号化モジュールがRedHawkカーネルにロードされます。
これらのモジュールは、暗号およびメッセージ認証コードの暗号化キーの生成を担当します。
FIPSアルゴリズムは、システム内のハードウェアベースのエントロピーに依存して暗号化キーを生成します。
FIPSを実施することにより、RedHawkシステムは、政府機関やサードパーティベンダーが使用する暗号化標準を実施できます。

STIG
セキュリティ技術実装ガイド(STIG)は、全体的なセキュリティを強化するために、論理設計、ネットワーク、サーバー、およびコンピューターを使用してセキュリティプロトコルを標準化するためのサイバーセキュリティ手法です。
STIGプロトコルは、国防総省(DoD)によって開発および公開されています。
STIGは、ファイルシステムの種類や暗号化の定義からネットワークセキュリティプロトコルまで、RedHawkシステム全体を網羅するプロトコルを定義しています。
STIGルールは、厳格なセキュリティ基準を満たすためにRedHawkユーザーレベルパッケージのコンプライアンスを強制します。
RedHawkは、RedHawk ArchitectツールおよびSTIG Viewerを介してSTIG準拠を提供します。
Architectは、さまざまなSTIGプロトコルに準拠するようにRedHawkシステム全体を構成するために使用できる強力なツールです。
いくつかの異なるSTIGプロトコルから選択でき、Architectはシステムを準備し、システムの整合性を検証するためにSTIGコンプライアンステストの実行を開始します。
DoDは、Architectに直接渡して安全性の高いRedHawkシステムを作成できるマシン読み取り可能なXMLファイルでSTIGガイドラインをリリースします。

まとめ

RedHawkは、国防総省、国家安全保障局、および米国国立標準技術研究所が推奨するセキュリティプロトコルへの高度な準拠を維持しています。
この高度なコンプライアンスにより、RedHawkは政府機関とそのサードパーティベンダーの最も厳しい要件を満たすことができます。
これらの機能は、重要なRedHawkシステムの攻撃対象領域を減らすことにより、ITインフラストラクチャを改善します。
RedHawkは、Common Criteria標準（EAL3およびEAL4）およびFIPSセキュリティ認定を維持するRed Hat Enterprise Linux（RHEL）ソフトウェアと完全に互換性があります。
RHELの認定はRedHawkによって自動的には継承されませんが、RedHawkとRHELの緊密な互換性のおかげで、同じ標準に対するRedHawk認定は追加の努力で可能になるはずです。

RedHawk Linux Security Packについて(PDF)(2022.05.18)

Suzaku(朱雀) Anti Virus は RedHawkLinux 上で動作するオンプレミスタイプのアンチウイルスソフトウエアです。
リアルタイムシステムは、インターネットなどの外界からの接続が遮断された環境で使用されることが一般的でしたが、データ取り込みや、サードパーティ製アプリケーションのダウンロード等、外部との接続を要する機会が増えています。
また、企業、官公庁へのセキュリティ攻撃は年々増加の一途を辿っており、リアルタイム OS と言えども、無視できない状況にあります。
このようなネットワークセキュリティを必要とするリアルタイムOS用に開発されたAnti VirusソフトウェアがSuzaku(朱雀)です。

機能と特徴

RedHawk Linux 7.x、8.x に対応
ウイルス検索エンジンおよび定義ファイルは法人向けセキュリティソフトベンダーの Sophos による OEM 供給
閉鎖環境でも定義ファイル更新が可能なメディア(ファイル)供給による提供 (2回/年 )
ロングライフサポートによる、同一 OS 上の長期間のウイルス定義ファイル供給
任意のタイミングでディスクスキャン(オンデマンドスキャン) を実行
任意設定による、常時ファイルアクセス監視
システムの閉鎖性とリアルタイムアプリケーションの実行を優先したシンプルな機能

Genbu(玄武)STIGs Configurator
セキュリティ技術実装ガイド (STIGs SecurityTechnical Information Guides) は、国防総省 (DoD) の機関である国防情報システム局 (DISA) による、コンピュータ、ネットワーク、プロトコルなどの情報システム / ソフトウエアを保護、管理するためのセキュリティガイドラインです。
STIGs コンプライアンスに準拠したセキュリティガイドラインは数百もあり、非常に複雑です。
Genbu は RedHawk 上での STIGs の設定を容易に実現するための設定ツールとして用意されたオープンソースパッケージです。

機能と特徴

RedHawk Linux 8.x 対応
RedHawk 8.x 上で、OpenSCAP および SCAP Security Guide を利用可能にする最新のセキュリティーポリシーコレクションとそのパッチ
Genbu で設定した設定コンプライアンスのコンテンツを検証し、スキャンおよび評価に基づいてレポート (OpenSCAP Evaluation Report) およびガイドを生成
レポート項目はシステム設定 ( アカウント、ソフトウエアメインテナンス、GRUB2、シスログ設定等 )、サービス (NTP, セキュリティサービス、SSH サーバ ) など多岐に渡って評価
項目毎にセキュリティの重大性を、high、medium、low にクラス分けし、結果を "pass"、"fail" で表示し、コンプライアンアスアを出力

RedHawk 実行時のケーパビリティ設定ファイルの違い(HTML)(2022.05.18)

Linuxは、下記の異なる特権継承モデルを同時にサポートしています。

レガシー
root(UID=0)ユーザだけが特権を持ち、その他のユーザは非特権モードでのみ動作するUNIX由来のレガシィアーキテクチャです。
実行ファイルに、set-user-ID/set-group-IDビットを使って特権を付与します。

アンビエントケーパビリティ(Linux 4.3以降)
set-user-ID/set-group-IDビットを付与されていない非特権プログラムをexecve(2)した際に、子プロセスに継承されるケーパビリティセットモデルです。
(set-user-ID/set-group-IDビットを付与しUIDまたはGIDを変更するプログラムを実行するか、ファイル機能が設定されているプログラムを実行すると、ケーパビリティセットがクリアされます。 )
execve(2)が呼び出されると、アンビエントケーパビリティが許可セット(permitted set)に追加され、有効セット(effective set)に割り当てられます。
アンビエントケーパビリティにより、execve(2)中にプロセスのpermitted/effectiveケーパビリティを付与する場合にはld.so(8)で説明されているセキュア実行モードをトリガーしません。
ケーパビリティを付与されたコマンドのリストをRedHawk 実行時のケーパビリティ設定ファイルの違い(HTML)に示します。

POSIX.1e(PDF)
POSIX標準規格の一種で、アクセス制御リスト、監査、特権（ケーパビリティ）の分離、強制アクセス制御、および情報ラベルメカニズムのための「オープンシステム」へのセキュリティインターフェイスを定義します。
アクセス制御リストについては、chacl(1),getfacl(1),setfacl(1)を参照して下さい。
監査については、man -k auditの出力結果を参照してください。
特権の分離については、ケーパビリティによって実装されています。
RedHawkでは、ロールベースのPAMケーパビリティを独自にサポートしています(詳細は RedHawkLinux_UsersGuide(PDF) Chapter 13のPluggable Authentication Modules (PAM)部分の説明をご参照ください。)。
強制アクセス制御および情報ラベルメカニズムは、SELinux/Apparmerによって実装されています。

STIG Viewerについて(2024.03.15)
STIGs(Security Technical Implementation Guides)は、米国国防総省（DoD）によって開発および公開されているセキュリティ技術実装ガイドで、セキュリティ設定チェックリスト記述形式(XCCDF)で記述されています。
DoD/DISA STIG Viewer ツールは、1 つ以上の XCCDF (拡張可能な構成チェックリスト記述形式) で書式設定された SCG を、人間が読みやすいわかりやすい形式で表示する機能を提供します。
これは、DoD用にDISAによって開発され、公開されたSSTIと互換性があります。STIG Viewer の目的は、STIG コンテンツへのアクセスを容易にする直感的なグラフィカルユーザーインターフェイスを提供し、現在の SCG を表示する方法 (Web ブラウザでスタイルシートを使用) では利用できない追加の検索および並べ替え機能を提供することです。
STIG Viewerは、DoD CYBER EXCHANGEのサイトからダウンロードし、RedHawkで利用できます。
また、実装ガイドは、https://public.cyber.mil/stigs/downloads/からダウンロードでき、
2024/01/22 公開のRed Hat Enterprise Linux 8 STIG - Ver 1, Rel 13 (RHEL8用 Ver1 Rel13)では375のプロファイルがあります。

sudoの脆弱性について
「sudo」に、パスワードなしで特権の獲得を許す脆弱性CVE-2021-3156が見つかりました。
この欠陥は、認証なしでsudoコマンドを実行できる（デフォルトでは、すべてのローカルユーザーがsudoを実行できる）ローカルユーザーによって悪用される可能性があります。
この欠陥の悪用に成功すると、特権の昇格につながる可能性があります。

以下のRedHawk製品およびコンテナは、直接影響を受けるか、影響を受ける可能性があります。

RedHawk Linux 6.x
この版は、上記リンクからソースコードをダウンロードして、下記手順で、コンパイル、インストールしてください。

# tar xvfz sudo-1.9.5p2.tar.gz # cd sudo-1.9.5p2 # ./configure --prefix=/usr # make # make install

RedHawk Linux 7.x
この版は、下記手順でリポジトリからsudoをアップデートするか、上記リンクからRPMをダウンロードして、ローカルインストールしてください。

# yum update sudo または # yum localupdate sudo-1.8.23-10.el7_9.1.x86_64.rpm

RedHawk Linux 8.x
この版は、下記手順でリポジトリからsudoをアップデートするか、上記リンクからRPMをダウンロードして、ローカルインストールしてください。

# dnf update sudo Last metadata expiration check: 0:08:41 ago on Tue Feb 2 11:37:37 2021. Dependencies resolved. ================================================================================ Package Architecture Version Repository Size ================================================================================ Upgrading: sudo x86_64 1.8.29-6.el8_3.1 BaseOS 924 k Transaction Summary ================================================================================ Upgrade 1 Package Total download size: 924 k Is this ok [y/N]: y Downloading Packages: sudo-1.8.29-6.el8_3.1.x86_64.rpm 610 kB/s | 924 kB 00:01 -------------------------------------------------------------------------------- Total 423 kB/s | 924 kB 00:02 Running transaction check Transaction check succeeded. Running transaction test Transaction test succeeded. Running transaction Preparing : 1/1 Upgrading : sudo-1.8.29-6.el8_3.1.x86_64 1/2 Running scriptlet: sudo-1.8.29-6.el8_3.1.x86_64 1/2 Cleanup : sudo-1.8.29-5.el8.x86_64 2/2 Running scriptlet: sudo-1.8.29-5.el8.x86_64 2/2 Verifying : sudo-1.8.29-6.el8_3.1.x86_64 1/2 Verifying : sudo-1.8.29-5.el8.x86_64 2/2 Installed products updated. Upgraded: sudo-1.8.29-6.el8_3.1.x86_64 Complete! または # yum localupdate sudo-1.8.29-6.el8_3.1.x86_64.rpm

報告: 難読化オープンソースソフトウェアについて(PDF)

難読化コード（Obfuscated code）とは、コンピュータプログラムにおいて、その内部的な動作の手続き内容・構造・データなどを人間が理解しにくい、あるいはそのようになるよう加工されたソースコードやマシンコードのことです。
本資料では、アプリケーションプログラムの難読化を行うオープンソース Obfuscator-LLVM に含まれるclang のインストール方法について記述しています。

カタログ: USB Flash ディスクセキュアプログラム(PDF)

ptadminは、USB Flash Diskの挿入時に、登録されたデバイスのみをホストコンピュータに認識させるためのセキュリティプログラムであるため、インストール後は、ptadminを使用してデバイスパスワードテーブルを保守しないと、USB Flashディスクをマウントすることが出来なくなります。
ptadminは、ホストコンピュータでの未登録USB Flashデバイスの使用を抑制しますが、USB Flashデバイスを保護するものではないため、必要であれば、LUKS(Linux Unified Key Setup)を使用して、USB Flashの内容を保護（暗号化とパスフレーズ保護）してください。
USB Flashの暗号化については、暗号化 USBFlashDisk デバイスの取り扱いについての資料をご覧ください。

お知らせ:
インテル社は、インテル製CPUが搭載するプロセス管理用ファームウェアに、遠隔攻撃を許す深刻な脆弱性があるため早急にファームウェアのアップデートを行うように警告しています。
Intel SA-00086 (外部HTML)

影響を受ける製品は以下の通りです。

第6世代、第7世代および第8世代のインテル ® Core ™ プロセッサー・ファミリー

インテル ® Xeon ® プロセッサーE3-1200 v5およびv6製品ファミリー

インテル ® Xeon ® プロセッサースケーラブル・ファミリー

インテル ® Xeon ® プロセッサーWファミリー

インテル ® Atom ® C3000プロセッサー・ファミリー

Apollo LakeIntel ® AtomプロセッサE3900シリーズ

Apollo Lakeインテル ® Pentium

Celeron® N および J シリーズプロセッサ

サポートは、各ハードウェアメーカーの公式サポートページを参照してください

Acer: Support Information(外部HTML)

Dell Client: Support Information(外部HTML)

Dell Server: Support Information(外部HTML)

Fujitsu: Support Information(外部HTML)

HPE Servers: Support Information(外部HTML)

Intel® NUC, Intel® Compute Stick, and Intel® Compute Card: Support Information(外部HTML)

Lenovo: Support Information(外部HTML)

Panasonic: Support Information(外部HTML)

なお、インテル社が公開している検出ツールは、Concurrent RedHawk Linux上では動作しませんので、ご注意ください