Capitolo 13. Sicurezza
SCAP Security Guide
Con Red Hat Enterprise Linux 7.1 è stato incluso il pacchetto scap-security-guide il quale fornisce le linee guida sulla sicurezza e i meccanismi di convalida associati. Le linee guida sono specificate nel Security Content Automation Protocol (SCAP), il quale rappresenta un catalogo sui consigli pratici. La SCAP Security Guide presenta i dati necessari per eseguire scansioni sulla conformità della sicurezza dei sistemi, in relazione a determinati requisiti di sicurezza di una politica; sono inclusi una descrizione scritta e un test automatizzato (probe). Automatizzando il test, la SCAP Security Guide fornisce un metodo affidabile e conveniente per la verifica della conformità dei sistemi.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the
oscap
command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.
Politica di SELinux
In Red Hat Enterprise Linux 7.1 la politica SELinux è stata modificata; i servizi sprovvisti di politica SELinux, che in precedenza erano in grado di essere eseguiti nel dominio
init_t
, ora vengono eseguiti in un nuovo dominio unconfined_service_t
. Consultare il capitolo Processi non confinati nella SELinux User's and Administrator's Guide di Red Hat Enterprise Linux 7.1.
Nuove funzioni in OpenSSH
Il set OpenSSH è stato aggiornato alla versione 6.6.1p1 e ora sono disponibili nuove funzioni relative alla crittografia:
- Lo scambio di chiavi con elliptic-curve
Diffie-Hellman
inCurve25519
di Daniel Bernstein è ora supportato. Questo metodo è quello predefinito previo supporto disponibile sia sul server che sul client. - È stato aggiunto il supporto per l'utilizzo dello schema di firma elliptic-curve
Ed25519
come tipo di chiave pubblica.Ed25519
, utilizzabile sia per gli utenti che per le chiavi dell'host, offre una maggiore sicurezza e migliori prestazioni rispetto aECDSA
eDSA
. - È stato aggiunto un nuovo formato di chiave-privata il quale utilizza la funzione
bcrypt
key-derivation (KDF). Per impostazione predefinita questo formato viene usato per le chiaviEd25519
ma può essere richiesto per altri tipi di chiavi. - È stato aggiunto un nuovo cifrario per il trasporto
chacha20-poly1305@openssh.com
. Esso combinaChaCha20
di Daniel Bernstein e ilPoly1305
message authentication code (MAC).
Nuove funzioni in Libreswan
L'implementazione Libreswan di IPsec VPN è stata aggiornata alla versione 3.12, ora sono disponibili nuove funzioni e miglioramenti:
- Sono stati aggiunti nuovi tipi di cifrari
IKEv2
support has been improved.- È stato aggiunto il supporto per la catena del certificato intermediario in
IKEv1
eIKEv2
. - È stata migliorata la gestione dei collegamenti.
- È stata migliorata l'interoperabilità con i sistemi OpenBSD, Cisco e Android.
- È stato migliorato il supporto per systemd.
- È stato aggiunto il supporto per
CERTREQ
e per le statistiche del traffico.
Nuove funzioni in TNC
The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
- The
PT-EAP
transport protocol (RFC 7171) for Trusted Network Connect has been added. - The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
- Il supporto per l'Attestation IMV è stato migliorato tramite l'implementazione di un nuovo elemento di lavoro TPMRA.
- È stato aggiunto il supporto per una REST API basata su JSON con SWID IMV.
- The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
- The
libtls
TLS 1.2
implementation as used byEAP-(T)TLS
and other protocols has been extended by AEAD mode support, currently limited toAES-GCM
. - Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common
imv_session
object. - Numerosi bug sono stati corretti nei protocolli esistenti
IF-TNCCS
(PB-TNC
,IF-M
(PA-TNC
)) e nella coppiaOS IMC/IMV
.
Nuove funzioni in GnuTLS
L'implementaziuone GnuTLS dei protocolli
SSL
, TLS
e DTLS
è stata aggiornata alla versione 3.3.8, ora sono disponibili nuove funzioni e miglioramenti:
- È stato aggiunto il supporto per
DTLS 1.2
. - È stato aggiunto il supporto per Application Layer Protocol Negotiation (ALPN).
- Sono state migliorate le prestazioni delle suite del cifrario elliptic-curve.
- Sono state aggiunte nuove suite del cifrario,
RSA-PSK
eCAMELLIA-GCM
. - È stato aggiunto il supporto nativo per lo standard Trusted Platform Module (TPM).
- È stato migliorato il supporto per le
PKCS#11
smart card e per gli hardware security module (HSM). - Miglioramenti apportati per la conformità agli standard di sicurezza FIPS 140 (Federal Information Processing Standards).