10.2. 安全性

为了防止无害的 AVC 拒绝，dontaudit 规则已添加到这些服务的 SELinux 策略中。

Jira:RHEL-77808^[1]

临时解决方案：在 openssl.cnf 文件的 PKCS #11 部分中设置 pkcs11-module-assume-fips = true 参数。如需更多信息，请参阅您系统上的 pkcs11-provider (7) 手册页。有了这个配置更改，pkcs11-provider 可以在 FIPS 模式下正常工作。

Jira:RHEL-68621

不支持 EMS 或 TLS 1.3 的传统客户端现在无法连接到在 RHEL 9 和 10 上运行的 FIPS 服务器。同样，在 FIPS 模式中的 RHEL 9 和 10 客户端无法连接到只支持没有 EMS 的 TLS 1.2 的服务器。在实践中意味着这些客户端无法连接到 RHEL 6、RHEL 7 和非 RHEL 传统操作系统上的服务器。这是因为传统的 OpenSSL 1.0.x 版本不支持 EMS 或 TLS 1.3。

另外，如果 hypervisor 使用没有 EMS 的 TLS 1.2，则从启用了 FIPS 的 RHEL 客户端连接到 hypervisor （如 VMWare ESX）现在会失败，并显示 Provider routines::ems not enabled 错误。要临时解决这个问题，请更新 hypervisor 以支持带有 EMS 扩展的 TLS 1.3 或 TLS 1.2。对于 VMWare vSphere，这意味着版本 8.0 或更高版本。

如需更多信息，请参阅 Red Hat Enterprise Linux 9.2 及之后的版本强制使用 TLS 扩展"扩展 Master Secret "。

Jira:RHEL-13340