Capítulo 11. Segurança

Com estas atualizações, as ferramentas básicas do sistema, como Yum, stunnel, vsftp, Git ou Postfix, foram modificadas para fornecer suporte à versão 1.2 do protocolo TLS. Isto garante que as ferramentas não fiquem vulneráveis às explorações de segurança existentes nas versões mais antigas do protocolo.

Para garantir a segurança atual, o protocolo TLS 1.2 passa a ser habilitado no NSS por padrão. Isto significa que não é mais necessário habilitá-lo explicitamente.

Com esta atualização, pycurl recebe aprimorações para fornecer suporte a opções que possibilitam a exigência do uso das versões 1.1 ou 1.2 do protocolo TLS, o que melhora a segurança da comunicação.

O suporte para as versões 1.1 e 1.2 do protocolo TLS, que foi disponibilizado na biblioteca curl, foi adicionado à extensão cURL PHP.

Os pacotes openswan foram preteridos e os pacotes libreswan foram introduzidos como uma substituição direta. O libreswan oferece uma solução de VPN mais estável e segura para o Red Hat Enterprise Linux 6 e já está disponível como a solução de ponto de extremidade de VPN para o Red Hat Enterprise Linux 7. O openswan será substituído pelo libreswan durante o upgrade do sistema.

Observe que os pacotes openswan continuam disponíveis no repositório. Para instalar o openswan no lugar do libreswan, use a opção -x do yum para excluir _libreswan_: yum install openswan -x libreswan.

Com esta atualização, o controle de acesso mandatório do SELinux passa a ser fornecido para os processos glusterd (GlusterFS Management Service) e glusterfsd (NFS server), como parte do Red Hat Gluster Storage.

O pacote shadow-utils, que fornece utilitários para o gerenciamento de contas de usuários e grupos, foi rebaseado para a versão 4.1.5.1. Esta é a mesma versão do shadow-utils usada no Red Hat Enterprise Linux 7. Os aprimoramentos podem ser encontrados na auditoria, que foi corrigida para fornecer um registro melhor das ações do administrador do sistema no banco de dados da conta do usuário. O recurso principal adicionado a este pacote é o suporte a operações em ambientes chroot usando a opção --root das respectivas ferramentas.

O pacote audit, que fornece os utilitários user-space para o armazenamento e a pesquisa dos registros de auditoria gerados pelo subsistema audit no kernel do Linux, foi rebaseado para a versão 2.4.5. Esta atualização inclui recursos de interpretação de eventos aprimorados que fornecem mais nomes de chamadas de sistema para facilitar a compreensão dos eventos.

Esta atualização também possui uma alteração de comportamento importante na forma como auditd registra eventos no disco. Se você estiver usando os modos data ou sync para a configuração do flush no auditd.conf, você verá uma redução de desempenho na capacidade do auditd de registrar eventos. Isto acontece porque, anteriormente, ele não informava ao kernel de forma adequada que as gravações síncronas completas deviam ser usadas. Isto foi corrigido, melhorando a confiabilidade da operação, no entanto tem afetado o desempenho. Se a queda do desempenho não for tolerável, a configuração do flush deve ser alterada para incremental e a configuração do freq controlará a frequência com que auditd instrui o kernel para sincronizar todos os registros no disco. A configuração do freq como 100 deve permitir um bom desempenho, ao mesmo tempo que garante que novos registros sejam descarregados no disco periodicamente.

A verificação de certificado e nome de host, desabilitada por padrão, foi implementada na biblioteca da World Wide Web para Perl (LWP, também conhecido como libwww-perl). Isto permite que os usuários do módulo Perl LWP::UserAgent verifiquem a identidade dos servidores HTTPS. Para habilitar a verificação, certifique-se de que o módulo Perl IO::Socket::SSL esteja instalado e a variável de ambiente PERL_LWP_SSL_VERIFY_HOSTNAME definida como 1 ou que o aplicativo esteja modificado para configurar a opção ssl_opts corretamente. Consulte POD LWP::UserAgent para mais detalhes.

O suporte a parâmetros de curva elíptica foi adicionado ao módulo Perl Net:SSLeay, que contém associações com a biblioteca OpenSSL. Ou seja, as subrotinas EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() e OBJ_txt2nid() foram transportadas do upstream. Isto é necessário para o suporte de troca de chaves ECDHE (Elliptic Curve Diffie–Hellman Exchange) no módulo Perl IO::Socket::SSL.

O suporte para ECDHE (Elliptic Curve Diffie–Hellman Exchange) foi adicionadao ao módulo Perl IO::Socket::SSL. A nova opção SSL_ecdh_curve pode ser usada para a especificação de uma curva adequada pelo OID (Identificador de Objeto) ou pelo NID (Identificador de Nome). Como resultado disto, agora é possível substituir os parâmetros de curva elíptica padrão durante a implementação de um cliente TLS usando IO::Socket:SSL.

O OpenSCAP, um conjunto de bibliotecas que fornece um caminho para a integração dos padrões SCAP, foi rebaseado para 1.2.8, a última versão upstream. Aprimoramentos importantes incluem: suporte às versões 5.11 e 5.11.1 da linguagem OVAL, introdução do modo verbose, que ajuda na compreensão dos detalhes de escaneamentos em execução, dois novos comandos, oscap-ssh e oscap-vm, para o escaneamanento do SSH e de sistemas virtuais inativos respectivamente, suporte nativo para os arquivos bz2 e uma interface moderna para os guias e relatórios HTML.

O pacote scap-workbench foi rebaseado para a versão 1.1.1, a qual fornece um novo diálogo de integração do Guia de Segurança SCAP. Isto pode ajudar o administrador a selecionar um produto que precisa ser escaneado em vez de selecionar arquivos de conteúdo. A nova versão também oferece várias melhorias relacionadas ao desempenho e à experiência do usuário, incluindo uma melhor pesquisa de regras na janela de personalização e a possibilidade de capturar recursos remotos no conteúdo SCAP usando o GUI.

O pacote scap-security-guide foi rebaseado para a versão upstream mais recente (0.1.28), a qual oferece diversas correções e aprimoramentos importantes, incluindo: alguns perfis completamente novos ou melhorados tanto para o Red Hat Enterprise Linux 6 quanto 7, verificações automáticas e scripts de correção para várias regras, IDs OVAL legíveis por humanos e consistentes entre os lançamentos, ou guias formatados em HTML acompanhando cada perfil.

O uso do protocolo SSLv3, não suficientemente seguro, e do algoritimo RC4 foi desabilitado por padrão no luci, aplicativo de administração de alta disponibilidade baseado na web. É possível re-habilitar o SSLv3, mas somente para casos improváveis e imprevisíveis, devendo ser usado com cuidado extremo.