Chapitre 10. Sécurité
Ce chapitre répertorie les changements les plus notables apportés à la sécurité entre RHEL 8 et RHEL 9.
10.1. Conformité en matière de sécurité
Les profils STIG du CIS et de la DISA sont fournis en tant que DRAFT
Les profils basés sur les références du Center for Internet Security (CIS) et du Defence Industry Security Association Security Technical Implementation Guides (DISA STIG) sont fournis en tant que DRAFT car les autorités émettrices n'ont pas encore publié de référence officielle pour RHEL 9. En outre, le profil OSSP est en DRAFT car il est en cours d'implémentation.
Pour une liste complète des profils disponibles dans RHEL 9, voir SCAP Security Guide profiles supported in RHEL 9.
OpenSCAP ne supporte plus SHA-1 et MD5
En raison de la suppression des fonctions de hachage SHA-1 et MD5 dans Red Hat Enterprise Linux 9, la prise en charge d'OVAL filehash_test
a été supprimée d'OpenSCAP. De même, la prise en charge des fonctions de hachage SHA-1 et MD5 a été supprimée de l'implémentation d'OVAL filehash58_test
dans OpenSCAP. Par conséquent, OpenSCAP évalue les règles dans le contenu SCAP qui utilisent l'OVAL filehash_test
comme notchecked
. En outre, OpenSCAP renvoie également notchecked
lors de l'évaluation de l'OVAL filehash58_test
avec l'élément hash_type
dans filehash58_object
réglé sur SHA-1
ou MD5
.
Pour mettre à jour votre contenu OVAL, réécrivez le contenu SCAP concerné de manière à utiliser filehash58_test
au lieu de filehash_test
et utilisez l'un des éléments SHA-224
, SHA-256
, SHA-384
, SHA-512
dans l'élément hash_type
au sein de l'élément filehash58_object
.
OpenSCAP utilise le fichier de flux de données au lieu du fichier XCCDF
Le fichier SCAP source data stream (ssg-rhel9-ds.xml
) contient toutes les données qui, dans les versions précédentes de RHEL, étaient contenues dans le fichier XCCDF (ssg-rhel9-xccdf.xml
). Le flux de données source SCAP est un fichier conteneur qui inclut tous les composants (XCCDF, OVAL, CPE) nécessaires pour effectuer un contrôle de conformité. L'utilisation du flux de données source SCAP au lieu de XCCDF est recommandée depuis RHEL 7. Dans les versions précédentes de RHEL, les données du fichier XCCDF et du flux de données source SCAP étaient dupliquées. Dans RHEL 9, cette duplication est supprimée afin de réduire la taille du paquet RPM. Si votre scénario nécessite l'utilisation de fichiers distincts au lieu du flux de données, vous pouvez diviser le fichier de flux de données à l'aide de cette commande : # oscap ds sds-split /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml output_directory
.