Red Hat Summit4.14. Sicherheit (Maschinenübersetzung)
SCAP Sicherheitsleitfaden PCI-DSS-Profil stimmt mit Version 3.2.1 überein
Das SCAP Security GuideProjekt stellt das PCI-DSS-Profil (Payment Card Industry Data Security Standard) für Red Hat Enterprise Linux 8 bereit und wurde an die neueste PCI-DSS-Version - 3.2.1 - angepasst.
(BZ#1618528)
OpenSSH auf Version 7.8p1 umgestellt
Die opensshPakete wurden auf die Upstream-Version 7.8p1 aktualisiert. Zu den bemerkenswerten Änderungen gehören:
-
Die Unterstützung für das
SSH version 1Protokoll wurde entfernt. -
Die Unterstützung für den
hmac-ripemd160Nachrichten-Authentifizierungscode wurde entfernt. -
Die Unterstützung für RC4 (
arcfour) Verschlüsselungen wurde entfernt. -
Die Unterstützung für
BlowfishVerschlüsselungen wurde entfernt. -
Die Unterstützung für
CASTVerschlüsselungen wurde entfernt. -
Der Standardwert der
UseDNSOption wurde geändert aufno. -
Standardmäßig sind die Algorithmen für
DSAöffentliche Schlüssel deaktiviert. -
Die minimale Modulgröße für
Diffie-HellmanParameter wurde auf 2048 Bit geändert. -
Die Semantik der
ExposeAuthInfoKonfigurationsoption wurde geändert. -
Die
UsePrivilegeSeparation=sandboxOption ist nun obligatorisch und kann nicht mehr deaktiviert werden. -
Setzen Sie die minimal akzeptierte
RSASchlüsselgröße auf 1024 Bit.
(BZ#1622511)
RSA-PSS wird nun unterstützt von OpenSC
Dieses Update bietet dem OpenSCSmartcard-Treiber Unterstützung für das kryptografische Signaturschema RSA-PSS. Das neue Schema ermöglicht einen sicheren kryptographischen Algorithmus, der für die TLS 1.3-Unterstützung in der Client-Software erforderlich ist.
(BZ#1595626)
Bemerkenswerte Änderungen in rsyslogRHEL 8
Die rsyslogPakete wurden auf die Upstream-Version 8.37.0 aktualisiert, die viele Bugfixes und Verbesserungen gegenüber den Vorgängerversionen bietet. Zu den wichtigsten Änderungen gehören:
- Verbesserte Verarbeitung von internen rsyslog-Nachrichten; Möglichkeit der Geschwindigkeitsbegrenzung; mögliche Blockierung behoben.
- Verbesserte Geschwindigkeitsbegrenzung im Allgemeinen; die tatsächliche Spam-Quelle wird nun protokolliert.
- Verbessertes Handling von übergroßen Nachrichten - der Benutzer kann nun einstellen, wie er sie sowohl im Kern als auch in bestimmten Modulen mit separaten Aktionen behandeln soll.
-
mmnormalizeregelbasen können nun in dieconfigDatei eingebettet werden, anstatt separate Dateien für sie zu erstellen. -
Der Benutzer kann nun die GnuTLS-Prioritätszeichenfolge festlegen,
imtcpdie eine fein abgestufte Kontrolle über die Verschlüsselung ermöglicht. -
Alle
configVariablen, einschließlich der Variablen in JSON, sind nun case-insensitiv. - Verschiedene Verbesserungen der PostgreSQL-Ausgabe.
-
Es wurde die Möglichkeit zugefügt, Shell-Variablen zur Steuerung der
configVerarbeitung zu verwenden, wie z.B. bedingtes Laden zusätzlicher Konfigurationsdateien, Ausführen von Anweisungen oder Einfügen eines Textes inconfig. Beachten Sie, dass eine übermäßige Nutzung dieser Funktion es sehr schwierig machen kann, Probleme mit rsyslog zu beheben. -
4-stellige Dateierstellungsmodi können nun in
config. - Der Eingang des Reliable Event Logging Protocol (RELP) kann nun auch nur noch an eine bestimmte Adresse gebunden werden.
-
Der Standardwert der
enable.bodyOption Mailausgabe ist nun auf die Dokumentation abgestimmt - Der Benutzer kann nun Einfügefehlercodes angeben, die in der MongoDB-Ausgabe ignoriert werden sollen.
- Der parallele TCP (pTCP)-Eingang hat nun den konfigurierbaren Backlog für einen besseren Lastausgleich.
(BZ#1613880)
Neues rsyslog-Modul: omkafka
Um kafka-zentralisierte Datenspeicherszenarien zu ermöglichen, können Sie nun mit dem neuen omkafkaModul Protokolle an die kafka-Infrastruktur weiterleiten.
(BZ#1542497)
libssh implementiert SSH als zentrale kryptographische Komponente
Diese Änderung führt als eine zentrale kryptografische Komponente in Red Hat Enterprise Linux 8 einlibssh. Die libsshBibliothek implementiert das Secure SHell (SSH)-Protokoll.
Beachten Sie, dass libsshdies nicht mit der systemweiten Krypto-Richtlinie übereinstimmt.
(BZ#1485241)
Die PKCS #11-Unterstützung für Smart Cards und HSMs ist nun systemweit einheitlich
Mit diesem Update wird die Verwendung von Smart Cards und Hardware Security Modules (HSM) mit PKCS #11 kryptographischer Token-Schnittstelle konsistent. Dies bedeutet, dass der Benutzer und der Administrator die gleiche Syntax für alle zugehörigen Werkzeuge im System verwenden können. Zu den bemerkenswerten Verbesserungen gehören:
- Unterstützung für das PKCS #11 Uniform Resource Identifier (URI)-Schema, das eine vereinfachte Aktivierung von Token auf RHEL-Servern sowohl für Administratoren als auch für Anwendungsautoren gewährleistet.
-
Ein systemweites Registrierungsverfahren für Smart Cards und HSMs unter Verwendung der
pkcs11.conf. -
Konsistente Unterstützung für HSMs und Smartcards ist in NSS-, GnuTLS- und OpenSSL-Anwendungen (through the
openssl-pkcs11engine) verfügbar. -
Der Apache HTTP-Server (
httpd) unterstützt nun nahtlos HSMs.
Weitere Informationen finden Sie in der pkcs11.conf(5)Man Page.
(BZ#1516741)
Systemweite kryptografische Richtlinien werden standardmäßig angewendet
Krypto-Richtlinien sind eine Komponente in Red Hat Enterprise Linux 8, das die wichtigsten kryptographischen Subsysteme konfiguriert, die die Protokolle TLS, IPSec, SSH, DNSSec und Kerberos abdecken. Es bietet einen kleinen Satz von Richtlinien, die der Administrator mit dem update-crypto-policiesBefehl auswählen kann.
Die DEFAULTsystemweite kryptografische Richtlinie bietet sichere Einstellungen für aktuelle Bedrohungsmodelle. Es erlaubt die Protokolle TLS 1.2 und 1.3 sowie die Protokolle IKEv2 und SSH2. Die RSA-Schlüssel und Diffie-Hellman-Parameter werden akzeptiert, wenn sie größer als 2047 Bit sind.
Siehe den Consistent security by crypto policies in Red Hat Enterprise Linux 8Artikel auf dem Red Hat Blog und der update-crypto-policies(8)Man Page für weitere Informationen.
(BZ#1591620)
SCAP Security Guide unterstützt OSPP 4.2
SCAP Security Guide enthält einen Entwurf des OSPP-Profils (Protection Profile for General Purpose Operating Systems) Version 4.2 für Red Hat Enterprise Linux 8. Dieses Profil spiegelt die obligatorischen Konfigurationskontrollen wider, die im NIAP-Konfigurationsanhang des Schutzprofils für allgemeine Betriebssysteme (Schutzprofil Version 4.2) aufgeführt sind. Der SCAP Security Guide bietet automatisierte Prüfungen und Skripte, mit denen Benutzer die im OSPP definierten Anforderungen erfüllen können.
(BZ#1618518)
Die OpenSCAP-Befehlszeilenschnittstelle wurde verbessert
Der ausführliche Modus ist nun in allen oscapModulen und Submodulen verfügbar. Die Werkzeugausgabe hat eine verbesserte Formatierung.
Veraltete Optionen wurden entfernt, um die Benutzerfreundlichkeit der Befehlszeilenschnittstelle zu verbessern.
Die folgenden Optionen sind nicht mehr verfügbar:
-
--showinoscap xccdf generate reportwurde vollständig entfernt. -
--probe-rootinoscap oval evalwurde entfernt. Sie kann durch Setzen der Umgebungsvariablen ersetzt werden,OSCAP_PROBE_ROOT. -
--sce-resultsinoscap xccdf evalwurde ersetzt durch--check-engine-results -
validate-xmlsubmodul wurde aus CPE-, OVAL- und XCCDF-Modulen entfernt.validateSubmodule können stattdessen verwendet werden, um SCAP-Inhalte anhand von XML-Schemata und XSD-Schemata zu validieren. -
oscap oval list-probesbefehl entfernt wurde, kannoscap --versionstattdessen die Liste der verfügbaren Sonden angezeigt werden.
OpenSCAP ermöglicht es, alle Regeln in einem bestimmten XCCDF-Benchmark unabhängig vom Profil zu bewerten, indem es --profile '(all)'.
(BZ#1618484)
Unterstützung für eine neue Berechtigungsprüfung der Karte auf dem mmapsyscall
Die mapSELinux-Berechtigung wurde hinzugefügt, um den Speicherabbildungszugriff auf Dateien, Verzeichnisse, Sockets usw. zu steuern. Dadurch kann die SELinux-Richtlinie den direkten Speicherzugriff auf verschiedene Dateisystemobjekte verhindern und sicherstellen, dass jeder dieser Zugriffe erneut validiert wird.
(BZ#1592244)
SELinux unterstützt jetzt systemd No New Privileges
Dieses Update stellt die nnp_nosuid_transitionRichtlinienfunktion vor, die SELinux-Domänenübergänge unter (NNPNo New Privileges) oder nosuidwenn nnp_nosuid_transitionzwischen dem alten und dem neuen Kontext erlaubt ist. Die selinux-policyPakete enthalten nun eine Richtlinie für Systemdienste, die die NNPSicherheitsfunktion verwenden.
Die folgende Regel beschreibt das Zulassen dieser Fähigkeit für einen Dienst:
allow source_domain target_type:process2 { nnp_transition nosuid_transition };
allow source_domain target_type:process2 { nnp_transition nosuid_transition };Zum Beispiel:
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };
Die Distributionsrichtlinie enthält nun auch die m4-Makroschnittstelle, die in SELinux-Sicherheitsrichtlinien für Dienste, die die init_nnp_daemon_domain()Funktion nutzen, verwendet werden kann.
(BZ#1594111)
SELinux unterstützt nun getrlimitBerechtigungen in der processKlasse
Mit diesem Update wird eine neue SELinux-Zugangskontrollprüfung eingeführt, process:getrlimitdie für die prlimit()Funktion hinzugefügt wurde. Auf diese Weise können SELinux-Richtlinienentwickler steuern, wann ein Prozess versucht, die Ressourcenbegrenzungen eines anderen Prozesses mit der process:setrlimitBerechtigung zu lesen und dann zu ändern. Beachten Sie, dass SELinux einen Prozess nicht daran hindert, seine eigenen Ressourcengrenzen durch prlimit(). Weitere Informationen finden Sie auf den Seiten prlimit(2)und getrlimit(2)in der Bedienungsanleitung.
(BZ#1549772)
TLS 1.3-Unterstützung in kryptographischen Bibliotheken
Dieses Update ermöglicht Transport Layer Security (TLS) 1.3 standardmäßig in allen wichtigen Backend-Kryptobibliotheken. Dies ermöglicht eine geringe Latenzzeit auf der Kommunikationsschicht des Betriebssystems und erhöht die Privatsphäre und Sicherheit von Anwendungen durch die Nutzung neuer Algorithmen wie RSA-PSS oder X25519.
(BZ#1516728)
Neue Funktionen in OpenSCAPRHEL 8
Die OpenSCAPSuite wurde auf die Upstream-Version 1.3.0 aktualisiert, die viele Verbesserungen gegenüber den Vorgängerversionen enthält. Zu den bemerkenswertesten Merkmalen gehören:
- API und ABI wurden konsolidiert - aktualisierte, veraltete und/oder unbenutzte Symbole wurden entfernt.
-
Die Sonden werden nicht als unabhängige Prozesse, sondern als Threads innerhalb des
oscapProzesses ausgeführt. - Die Befehlszeilenschnittstelle wurde aktualisiert.
-
Python 2bindungen wurden durchPython 3Bindungen ersetzt.
(BZ#1614273)
Audit 3.0 ersetzt audispddurch auditd
Mit diesem Update wurde die Funktionalität vonaudispd.... nach auditd..... verschoben. Infolgedessen sind audispdKonfigurationsoptionen nun Teil von auditd.conf. Außerdem wurde das plugins.dVerzeichnis verschoben unter /etc/audit. Der aktuelle Status von auditdund seiner Plugins kann nun durch Ausführen des service auditd stateBefehls überprüft werden.
(BZ#1616428)
rsyslogimfile unterstützt jetzt Symlinks
Mit diesem Update bietet das rsyslog-Modulimfile eine bessere Leistung und mehr Konfigurationsmöglichkeiten. Dies ermöglicht es Ihnen, das Modul für komplexere Anwendungsfälle der Dateiüberwachung zu verwenden. So können Sie beispielsweise Datei-Monitore mit Glob-Mustern an beliebiger Stelle entlang des konfigurierten Pfades verwenden und Symlink-Ziele mit erhöhtem Datendurchsatz drehen.
(BZ#1614179)
Die automatische OpenSSHGenerierung von Serverschlüsseln wird nun von folgenden Personen durchgeführt sshd-keygen@.service
OpenSSH erstellt automatisch RSA-, ECDSA- und ED25519-Server-Hostschlüssel, wenn sie fehlen. Um die Hostschlüsselerstellung in RHEL 8 zu konfigurieren, verwenden Sie den sshd-keygen@.serviceinstanziierten Service.
Zum Beispiel, um die automatische Erstellung des RSA-Schlüsseltyps zu deaktivieren:
systemctl mask sshd-keygen@rsa.service
# systemctl mask sshd-keygen@rsa.service
Weitere Informationen finden Sie in der /etc/sysconfig/sshdDatei.
(BZ#1228088)
Das rsyslogStandard-Konfigurationsdateiformat ist nun nicht mehr veraltet
Die Konfigurationsdateien in den rsyslogPaketen verwenden nun standardmäßig das Non-Legacy-Format. Das Legacy-Format kann weiterhin verwendet werden, jedoch hat die Mischung von aktuellen und älteren Konfigurationsanweisungen mehrere Einschränkungen. Konfigurationen, die aus früheren RHEL-Releases übernommen wurden, sollten überarbeitet werden. Weitere Informationen finden Sie in der rsyslog.conf(5)Man Page.
(BZ#1619645)
Neue SELinux-Booleans
Dieses Update der SELinux-Systemrichtlinie führt die folgenden Booleans ein:
- colord_use_nfs
- mysql_connect_http
- pdns_can_network_connect_db
- ssh_use_tcpd
- sslh_can_bind_any_port
- sslh_can_connect_any_port
- virt_use_pcscd
Weitere Informationen finden Sie in der Ausgabe des folgenden Befehls:
semanage boolean -l
# semanage boolean -l(JIRA:RHELPLAN-10347)
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}