Kapitel 11. Sicherheit

Mit diesem Update wurden grundlegende Systemwerkzeuge wie Yum, stunnel, vsftp, Git oder Postfix dahingehend geändert, dass sie die 1.2 Version des TLS Protokolls unterstützen. Dies soll sicherstellen, dass die Tools nicht anfällig für Sicherheitslücken älterer Protokollversionen sind.

Um derzeit bewährten Sicherheitspraktiken zu entsprechen, wurde das TLS 1.2 Protokoll standardmäßig in NSS aktiviert. Das bedeutet, dass es nicht mehr explizit aktiviert werden muss.

Mit diesem Update wurde pycurl dahingehend verbessert, dass Optionen unterstützt werden, die eine Verwendung der TLS Protokollversion 1.1 oder 1.2 erfordern können, was die Kommunikationssicherheit verbessert.

Es wurde Support für die TLS Protokollversion 1.1 und 1.2, die kürzlich in der curl Bibliothek verfügbar gemacht wurde, zur PHP cURL Erweiterung hinzugefügt.

Die openswan Pakete wurden verworfen und libreswan Pakete wurden als direkter Ersatz für openswan eingeführt. Libreswan ist eine stabilere und sicherere VPN Lösung für Red Hat Enterprise Linux 6. Libreswan ist bereits als VPN Endpunktlösung für Red Hat Enterprise Linux 7 verfügbar. Openswan wird während dem System-Upgrade durch libreswan ersetzt.

Beachten Sie, dass die openswan Pakete im Repository verfügbar bleiben. Um openswan anstelle von libreswan zu installieren, verwenden Sie die -x-Option von yum zum Ausschluss von _openswan_: yum install openswan -x libreswan.

Mit diesem Update wird die obligatorische Zugriffskontrolle von SELinux für glusterd (GlusterFS Management Service) und glusterfsd (NFS Server) Prozesse als Teil von Red Hat Gluster Storage bereitgestellt.

Das shadow-utils-Paket, welches Dienstprogramme für die Verwaltung von Benutzer- und Gruppen-Accounts bereitstellt, wurde auf die Version 4.1.5.1 rebasiert. Dies entspricht der Version von shadow-utils in Red Hat Enterprise Linux 7. Die Erweiterungen umfassen verbesserte Überwachung, damit Systemverwaltungsaktionen auf der Datenbank im Benutzer-Account besser aufgezeichnet werden können. Die wichtigste neue Funktion in diesem Paket ist der Support für Vorgänge in Chroot-Umgebungen mittels --root-Option der entsprechenden Tools.

Das audit-Paket bietet Dienstprogramme im User-Space zum Speichern und Suchen von Überwachungsdaten, die vom audit Subsystem im Linux Kernel erzeugt wurden, und wurde auf Version 2.4.5 rebasiert. Dieses Update umfasst erweiterte Dienste zur Ereignisinterpretation, die mehr Systemaufrufnamen und Argumente bereitstellen, um Ereignisse leichter verstehen zu können.

Dieses Update bringt auch eine wichtige Verhaltensänderung bei der Übertragung von Ereignissen auf die Festplatte durch auditd. Wenn Sie entweder den data oder sync Modus für die flush Einstellung in auditd.conf verwenden, werden Sie sehen, wie auditd's Fähigkeit, Ereignisse zu protokollieren, nachlässt. Das liegt daran, dass es bisher den Kernel nicht ordnungsgemäß informiert hat, dass voll synchrone Schrift verwendet werden sollte. Dies wurde korrigiert, wodurch die Zuverlässigkeit der Operation verbessert wurde, jedoch auf Kosten der Leistung. Wenn der Leistungsrückgang nicht akzeptabel ist, sollte die flush-Einstellung auf incremental geändert werden, dann wird die freq-Einstellung steuern, wie oft auditd den Kernel anweist, alle Datensätze auf der Festplatte zu synchronisieren. Eine freq-Einstellung von 100 sollte gute Leistung bringen und gleichzeitig sicherstellen, dass neue Datensätze regelmäßig durch Flush auf die Festplatte geleert werden.

In der World Wide Web Bibliothek für Perl (LWP, auch libwww-perl genannt) wurde eine Verifizierung mittels Zertifikat und Hostname implementiert, die standardmäßig deaktiviert ist. Dies ermöglicht den Benutzern des Moduls LWP::UserAgent Perl die Identität von HTTPS Servern zu verifizieren. Um die Verifizierung zu aktivieren, stellen Sie sicher, dass das IO::Socket::SSL Perl-Modul installiert ist und die PERL_LWP_SSL_VERIFY_HOSTNAME Umgebungsvariable auf 1 gesetzt wurde, oder dass die Anwendung eingestellt wurde, die Option ssl_opts korrekt zu bestimmen. Weitere Details dazu unter LWP::UserAgent POD.

Es wurde Support für Elliptic-Curve Parameter zum Perl-Modul Net:SSLeay hinzugefügt, welches Bindungen zur OpenSSL Bibliotheken enthält. Die Unter-Routinen EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() und OBJ_txt2nid() wurden aus Upstream portiert. Die ist für den Support von Elliptic-Curve Diffie–Hellman Exchange (ECDHE) Schlüsselaustausch im IO::Socket::SSL Perl-Modul erforderlich.

Es wurde Support für Elliptic-Curve Diffie–Hellman Exchange (ECDHE) zum IO::Socket::SSL Perl-Modul hinzugefügt. Die neue Option SSL_ecdh_curve kann verwendet werden, um eine geeignete Curve mittels Object Identifier (OID) oder Name Identifier (NID) zu bestimmen. Daher ist es jetzt möglich standardmäßige Elliptic-Curve Parameter außer Kraft zu setzen, wenn ein TLS Client mittels IO::Socket:SSL implementiert wird.

OpenSCAP, ein Set von Bibliotheken, die einen Pfad für die Integration von SCAP-Standards bereitstellen, wurde auf die aktuellste Upstream-Version 1.2.8 rebasiert. Nennenswerte Verbesserungen sind Support für OVAL-5.11 und OVAL-5.11.1 Sprachversionen, die Einführung eines ausführlichen Modus, der die Details laufender Scans verständlicher macht, zwei neue Befehle, oscap-ssh und oscap-vm zum Scannen von SSH und inaktiven virtuellen Systemen, systemeigener Support für bz2 Archive und eine moderne Schnittstelle für HTML Berichte und Handbücher.

Das scap-workbench-Paket wurde auf Version 1.1.1 rebasiert, welche einen neuen Integrationsdialog für das SCAP-Sicherheitshandbuch enthält. Dies kann dem Administrator bei der Wahl eines zu scannenden Produktes helfen, anstatt eine Inhaltsdatei auszusuchen. Die neue Version bietet auch eine Reihe von Verbesserungen bezüglich Leistung und Benutzererfahrung, einschließlich verbesserter Regelsuche im Fenster für genauere Angaben und der Möglichkeit entfernte Ressourcen in SCAP-Inhalten über das GUI abzurufen.

Das scap-security-guide-Paket wurde auf die aktuellste Upstream-Version (0.1.28) rebasiert, die eine Reihe von wichtigen Problemlösungen und Verbesserungen bietet. Darunter viele verbesserte oder völlig neue Profile für Red Hat Enterprise Linux 6 und 7, automatisierte Prüfungen und Wiederherstellungsskripte für einige Regeln, einfach lesbare OVAL IDs, die zwischen den Releases konsistent bleiben, oder auch HTML-formatierte Handbücher zu jedem Profil.

Die Verwendung des unsicheren SSLv3 Protokolls und RC4 Algorithmus wurde in luci, der web-basierten Applikation für Hochverfügbarkeits-Administration, standardmäßig deaktiviert. SSLv3 kann re-aktiviert werden, aber nur in unwahrscheinlichen und unvorhersehbaren Fällen, und sollte mit höchster Vorsicht vorgenommen werden.