Capítulo 16. Seguridad
Acceso de shell chroot
con OpenSSH
Por lo general, a cada usuario de Linux se le asigna un usuario de SELinux mediante la política de SELinux, lo cual permite a los usuarios heredar las restricciones impuestas a los usuarios de SELinux. Hay una asignación predeterminada para el usuario unconfined_u de SELinux.
En Red Hat Enterprise Linux 7, la opción
ChrootDirectory
para ejecutar chroot puede utilizarse para usuarios no confinados sin necesidad de cambio, pero para usuarios confinados, tales como staff_u, user_u, o guest_u,se debe establecer la variable de SELinux selinuxuser_use_ssh_chroot
. Se recomienda a los administradores usar el usuario guest_u para todos los usuarios a los que se ha ejecutado chroot cuando se usa la opción ChrootDirectory
para obtener alta seguridad.
Se requieren múltiple autenticación
Red Hat Enterprise Linux 7.0 soporta múltiple autenticación en la versión 2 del protocolo SSH, mediante la opción
AuthenticationMethods
. Esta opción lista una o más nombres de métodos de autenticación separados por coma. El correcto de todos los métodos en cualquier lista requiere autenticación para completar. Esto permite, por ejemplo, que un usuario tenga que autenticarse mediante una llave pública o GSSAPI antes de que se les ofrezca autenticación de contraseña.
Proxy GSS
GSS Proxy es el servicio de sistemas que establece contexto de Kerberos API de GSS a nombre de otras aplicaciones. Esto trae beneficios de seguridad, por ejemplo, en una situación el acceso a keytab del sistema se comparte entre varios procesos, un ataque contra ese proceso conlleva a la personificación de Kerberos para todos los procesos.
Cambios en NSS
Los paquetes nss han sido mejorados a la versión 3.15.2 de la corriente principal de desarrollo. Las firmas del algoritmo Message-Digest 2 (MD2), MD4, y MD5 ya no se aceptan para el protocolo de estatus de certificado en línea (OCSP) o las listas de revocación de certificado (CRL), consistentes con su manejo para las firmas generales de certificado.
El paquete Cipher (RFC 5288 y RFC 5289) del Modo de contador Galois Estándar de cifrado avanzado (AES-GCM), ha sido añadido para usar cuando se negocia TLS 1.2. Específicamente, ahora tienen soporte los siguientes paquetes de cifras:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
SCAP Workbench
SCAP Workbench es un primer plano de interfaz de usuario,GUI, que proporciona funcionalidad de escáner para contenido SCAP. SCAP Workbench se incluye como una muestra previa de tecnología en Red Hat Enterprise Linux 7.0.
Encontrará más información en el sitio web del proyecto de la línea de desarrollo principal:
Complemento OSCAP de Anaconda
Red Hat Enterprise Linux 7.0 introduce el Complemento OSCAP de Anaconda como una muestra previa de tecnología. El complemento integra herramientas de OpenSCAP con el proceso de instalación y habilita la instalación de sistemas al seguir las restricciones dadas por el contenido SCAP.