Capítulo 13. Seguridad
Guía de seguridad SCAP
El paquete scap-security-guide se ha incluido en Red Hat Enterprise Linux 7.1 para brindar orientación sobre seguridad, bases y mecanismos de validación asociados con mecanismos de validación. La orientación se especifica en Security Content Automation Protocol (SCAP por sus siglas en inglés), el cual constituye un catálogo de consejos prácticos de endurecimiento. SCAP Security Guide contiene los datos necesarios para realizar un escaneo del cumplimiento de la seguridad del sistema con relación a los requerimientos de la política de seguridad prescritos; se incluyen una descripción escrita y una prueba automatizada (sondeo). Al automatizar la prueba, SCAP Security Guide ofrece una forma conveniente y fiable para verificar con regularidad el cumplimiento del sistema.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the
oscap
command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.
Política SELinux
En Red Hat Enterprise Linux 7.1, la política SELinux ha sido modificada; los servicios sin su propia política SELinux que anteriormente se ejecutaban en el dominio
init_t
ahora se ejecutan en el dominio recién agregado unconfined_service_t
. Consulte Procesos no confinados en Guía del administrador y usuario SELinux para Red Hat Enterprise Linux 7.1.
Nuevas funcionalidades en OpenSSH
El conjunto de herramientas OpenSSH ha sido actualizado a la versión 6.6.1p1, la cual agrega varias funcionalidades relacionadas con la criptografía:
- El intercambio de llave mediante curva elíptica
Diffie-Hellman
enCurve25519
de Daniel Bernstein no recibe soporte. Este método ahora es el predeterminado tanto el servidor como el cliente lo soportan. - Se agregó soporte para el uso del esquema de firma de curva elíptica
Ed25519
como un tipo de llave pública.Ed25519
, el cual puede utilizarse para llaves de usuario y de host, ofrece más seguridad y rendimiento queECDSA
yDSA
. - Se ha agregó un nuevo formato de llave que utiliza la función de derivación de claves
bcrypt
(KDF). Este formato es el predeterminado para llavesEd25519
, pero también puede solicitarse para otros tipos de llaves. - Se agregó una nueva cifra de transporte,
chacha20-poly1305@openssh.com
. Combina la cifra de corriente de Daniel BernsteinChaCha20
con el código de autenticación del mensajePoly1305
(MAC).
Nuevas funcionalidades en Libreswan
La implementación de Libreswan de VPN IPsec, ha sido actualizada a la versión 3.12, la cual añade varias funcionalidades y mejoras:
- Se agregaron nuevas cifras.
IKEv2
support has been improved.- Se agregó soporte de cadena de certificados intermediarios en
IKEv1
eIKEv2
. - Se mejoró el manejo de conexión
- Se mejoró la interoperabilidad con sistemas OpenBSD, Cisco, y Android.
- Se mejoró el soporte para systemd.
- Se agregó soporte para
CERTREQ
en hash y estadísticas de tráfico.
Nuevas funcionalidades en TNC
The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
- The
PT-EAP
transport protocol (RFC 7171) for Trusted Network Connect has been added. - The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
- Se mejoró el soporte de atestación IMV al implementar un nuevo ítem de trabajo TPMRA.
- Se agregó soporte para JSON-based REST API con SWID IMV.
- The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
- The
libtls
TLS 1.2
implementation as used byEAP-(T)TLS
and other protocols has been extended by AEAD mode support, currently limited toAES-GCM
. - Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common
imv_session
object. - Varios errores han sido corregidos en los protocolos existentes:
IF-TNCCS
(PB-TNC
,IF-M
(PA-TNC
) y en el par:OS IMC/IMV
.
Nuevas funcionalidades en GnuTLS
La implementación GnuTLS de los protocolos
SSL
, TLS
, y DTLS
, ha sido actualizada a la versión 3.3.8, la cual ofrece una cantidad de funcionalidades y mejoras.
- Se ha agregado soporte para
DTLS 1.2
. - Se ha agregado soporte para Negociación de protocolo de capas de aplicación (ALPN).
- El rendimiento de paquetes de cifras de curva elíptica ha sido mejorado.
- Se han agregado paquetes de nuevas cifras,
RSA-PSK
yCAMELLIA-GCM
. - Se ha agregado soporte nativo para el estándar de Módulo de plataforma confiable (TPM).
- Se ha mejorado en varias formas el soporte para tarjetas inteligentes
PKCS#11
y módulos de seguridad de hardware (HSM). - Ha sido mejorado en varias formas el cumplimiento con los estándares de seguridad FIPS 140 (Estándares de procesamiento de información federal).