Capítulo 16. Segurança
OpenSSH chroot
Shell Logins
Geralmente, cada usuário do Linux é mapeado para um usuário do SELinux, usando a política do SELinux, permitindo que os usuários herdem as restrições colocadas em usuários do SELinux. Existe um mapeamento padrão no qual os usuários Linux são mapeados para o usuário unconfined_u do SELinux.
No Red Hat Enterprise Linux 7, a opção
ChrootDirectory
para usuários em chroot, pode ser usado com usuários não confinados sem qualquer alteração, mas para usuários confinados, tal como staff_u, user_u, ou guest_u, a variável do SELinux selinuxuser_use_ssh_chroot
precisa ser definida. Os administradores são aconselhados a utilizar o usuário para todos os usuários em chroot quando utilizarem a opção ChrootDirectory
para alcançarem uma maior segurança.
Autenticações Múltiplas Requeridas
Red Hat Enterprise Linux 7.0 suporta múltiplas autenticações requeridas na versão 2 do protocolo SSH, utilizando a opção
AuthenticationMethods
. Esta opção apresenta uma ou mais listas de nomes de métodos de autenticação separados por vírgulas. É necessária a conclusão de todos os métodos com sucesso em qualquer lista para que a autenticação seja concluída. Isto permite, por exemplo, requerer que um usuário autentique-se utilizando a chave pública ou GSSAPI antes que seja oferecido uma autenticação de senha.
GSS Proxy
O GSS Proxy é o serviço de sistema que estabelece o contexto de GSS API Kerberos em nome de outros aplicativos. Isto traz benefícios de segurança; por exemplo, em uma situação que o acesso à keytab do sistema é compartilhada entre processos diferentes, um ataque bem sucedido contra este processo leva à impersonalização do Kerberos de todos os outros processos.
Mudança no NSS
Os pacotes do nss foram atualizados para a versão upstream 3.15.2. As assinaturas do algorítimo Message-Digest algorithm 2 (MD2), MD4, e MD5 não são mais aceitas para o protocolo de status de certificado online (OCSP) ou listas de revogação de certificado (CRLs), consistente com seu manuseio para assinaturas gerais de certificado.
Advanced Encryption Standard Galois Counter Mode (AES-GCM) Cipher Suite (RFC 5288 and RFC 5289) foram adicionados para serem utilizadas quando o TLS 1.2 é negociado. Especificamente, as seguintes suites de cífras são agora suportadas:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
SCAP Workbench
O SCAP Workbench é um frontend de GUI que fornece função de cópia para conteúdo de SCAP. O SCAP Workbench está incluso como uma Amostra de Tecnologia no Red Hat Enterprise Linux 7.0.
Você pode encontrar informações detalhadas no Website do projeto upstream:
OSCAP Anaconda Add-On
Red Hat Enterprise Linux 7.0 Apresenta o OSCAP Anaconda add-on como uma Amostra de Tecnologia. O add-on integra as funções do OpenSCAP com o processo de instalação e possibilita o sistema de instalação a seguir restrições fornecidas pelo conteúdo do SCAP.