Capítulo 11. Seguridad

Con estas actualizaciones, las herramientas de sistema básicas, tales como Yum, stunnel, vsftp, Git o Postfix han sido modificadas para soportar la versión 1.2 del protocolo TLS. Esto garantiza que las herramientas no sean vulnerables a los ataques de seguridad que existen para versiones anteriores del protocolo.

Para cumplir con las mejores prácticas de seguridad, el protocolo TLS 1.2 ha sido habilitado de forma predeterminada en NSS. Es decir que ya no se necesita activarlo de forma explícita.

Con esta actualización, pycurl ha sido mejorado a las opciones de soporte que hacen posible que se requiera el uso de las versiones 1.1 o 1.2 del protocolo TLS, el cual proporciona la seguridad de comunicación.

El soporte para la versión 1.1 y 1.2 del protocolo TLS que estaba disponible en la biblioteca curl, ha sido agregado a la extensión cURL PHP.

Los paquetes openswan han sido depreciados y han introducido los paquetes libreswan como remplazo directo para openswan. libreswan es una solución VPN más estable y segura para Red Hat Enterprise Linux 6. libreswan ya está disponible como solución de punto de terminación de VPN para Red Hat Enterprise Linux 7. openswan será remplazado por libreswan durante la actualización del sistema.

Observe que los paquetes openswan aún están disponibles en el repositorio. Para instalar openswan en lugar de libreswan, use la opción -x de yum para excluir _openswan_: yum install openswan -x libreswan.

Con esta actualización el control de acceso obligatorio de SELinux se proporciona para los procesos glusterd (GlusterFS Management Service) y glusterfsd (servidor NFS) como parte de Red Hat Gluster Storage.

El paquete shadow-utils que proporciona herramientas para administrar las cuentas de grupos y usuarios, ha sido rebasado a la versión 4.1.5.1. Esta versión es igual a la versión de shadow-utils en Red Hat Enterprise Linux 7. La mejoras incluyen auditoría mejorada, la cual fue corregida para mejorar el registro de las acciones de administrador del sistema en la base de datos de la cuenta de usuario. La nueva funcionalidad agregada a este paquete es el soporte para operación en los entornos chroot mediante la opción --root de las herramientas respectivas.

El paquete audit que proporciona las herramientas de espacio de usuario para almacenamiento y búsqueda de registros de auditoría generados por el subsistema audit en el kernel de Linux, ha sido rebasado a la versión 2.4.5. Esta actualización incluye funcionalidades de interpretación de eventos que proporcionan más nombres y argumentos de nombres de sistema de llamadas y argumentos para facilitar el entendimiento de eventos.

Esta actualización también tiene un cambio de conducta importante en la forma que auditd registra los eventos al disco. Si está utilizando los modos data o sync para el parámetro flush en auditd.conf, verá la disminución de rendimiento en la capacidad de auditd para los eventos de registro. Esto se debe a que anteriormente no se informaba al kernel que deben usarse escrituras totalmente sincrónicas. Esto se corrigió, lo cual ha mejorado la confiabilidad de la operación, aunque se da a expensas del rendimiento. Si la caída de rendimiento no es tolerable, el parámetro flush deberá cambiarse a incremental y el parámetro freq que controla la frecuencia auditd instruye al kernel para que sincronice todos los registros del disco. Un parámetro freq de 100 debe generar buen rendimiento y asegurar que se envíen regularmente nuevos registros al disco.

La verificación de nombre de host y certificado, que está inhabilitada de forma predeterminada, ha sido implementada en la biblioteca de World Wide Web para Perl (LWP, también conocida como libwww-perl). Esto permite a los usuarios LWP::UserAgent del módulo Perl, verificar la identidad de los servidores HTTPS. Para habilitar la verificación, asegúrese de que el módulo IO::Socket::SSL de Perl esté instalado y que la variable de entorno PERL_LWP_SSL_VERIFY_HOSTNAME esté configurada como 1 o que la aplicación esté modificada para establecer correctamente la opción ssl_opts. Para obtener más información, consulte POD LWP::UserAgent .

Se ha agregado soporte para parámetros curvos-elípticos al módulo Perl Net:SSLeay, el cual contiene vínculos para la biblioteca OpenSSL. A saber, las subrutinas EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() y OBJ_txt2nid() han sido transferidas desde la corriente de desarrollo principal. Esta acción se requiere para el soporte de intercambio de la llave Elliptic Curve Diffie–Hellman Exchange (ECDHE) en el módulo Perl IO::Socket::SSL.

Se ha agregado soporte para Intercambio de Curva Elíptica Diffie–Hellman (ECDHE) al módulo Perl IO::Socket::SSL. La nueva opción SSL_ecdh_curve sirve para especificar una curva apta por el Identificador de Objetos (OID) o el Identificador de nombres (NID). Como resultado, ahora es posible sobrescribir los parámetros de curva elíptica cuando se implemente un cliente TLS mediante IO::Socket:SSL.

OpenSCAP, un conjunto de bibliotecas que proporcionan una ruta para la integración de estándares SCAP, ha sido rebasado a la versión 1.2.8, la versión más reciente de la corriente de desarrollo principal. Incluye mejoras en soporte para las versiones de idioma OVAL-5.11 y OVAL-5.11.1, la introducción del modo verboso, la cual ayuda a entender los detalles del escáner en ejecución, dos nuevos comandos, oscap-ssh y oscap-vm, para escanear mediante SSH y sistemas virtuales inactivos respectivamente, el soporte nativo para los archivos bz2 y una interfaz moderna para reportes y guías HTML.

El paquete scap-workbench ha sido rebasado a la versión 1.1.1, la cual proporciona un nuevo diálogo de integración de la Guía de Seguridad SCAP. Puede ayudar al administrador a elegir un producto que necesite ser escaneado en lugar de elegir los archivos de contenido. La nueva versión también ofrece una serie de mejoras de rendimiento y de experiencia de usuario, incluidos la búsqueda de reglas mejorada y la posibilidad de obtener recursos remotos en el contenido SCAP mediante la GUI.

El paquete scap-security-guide ha sido rebasado a la versión más reciente de la corriente de desarrollo principal (0.1.28), la cual ofrece una serie de correcciones y mejoras importantes. Se incluyen perfiles mejorados o completamente nuevos para Red Hat Enterprise Linux 6 y 7, se agregan nuevas revisiones automatizadas y scripts correctivos para muchas reglas, IDs OVAL de lectura humana que son consistentes entre lanzamientos o, guías en formato HTML que acompañan cada perfil.

El uso de protocolo SSLv3 no seguro y el algoritmo RC4 ha sido inhabilitado de forma predeterminada en luci, la aplicación de administración de alta disponibilidad basada en red. Es posible reactivar SSLv3, pero únicamente en casos improbables e impredecibles y debe utilizarse con extremo cuidado.