红帽全球峰会6.2. 安全性
keylime-agent-rust 在版本 0.2.5 中提供
keylime-agent-rust 软件包(其包含 Keylime 代理)在 RHEL 10 中的 0.2.5 版本中提供。此版本提供重要的改进和 bug 修复,最重要的是:
添加了对设备身份的 Initial Device Identity(IDevID)和 Initial Attestation Key (IAK)的支持。已添加了以下配置选项:
enable_iak_idevid-
(默认:
false)允许使用 IDevID 和 IAK 证书来识别设备。 iak_idevid_template-
(默认:
detect)指定设置用于 IDevID 和 IAK 的算法的模板(在 用于身份和认证的 TPM 2.0 密钥,第 7.3.4 章节 中定义)。detect关键字根据配置的证书中使用的算法来设置模板。 iak_idevid_name_alg-
(默认:
sha256)指定 IDevID 和 IAK 中使用的摘要算法。仅在iak_idevid_template选项没有设置为detect时使用。 iak_idevid_asymmetric_alg-
(默认:
rsa)指定 IDevID 和 IAK 中使用的签名算法。仅在iak_idevid_template选项没有设置为detect时使用。 iak_cert-
(默认:
default)指定包含 X509 IAK 证书的文件的路径。默认路径为/var/lib/keylime/iak-cert.crt。 idevid_cert-
(默认:
default)指定包含 X509 IDevID 证书的文件的路径。默认路径为/var/lib/keylime/idevid-cert.crt。
-
使用新的
ima_ml_path和measuredboot_ml_path配置选项支持可配置的 IMA 和测量引导事件日志位置。 - 本地 DNS 名称、本地 IP 和配置的联系人 IP 作为生成的自签名 X509 证书的主题备用名称的一部分被包含。
-
registrar_ip配置选项支持带有或没有方括号的 IPv6 地址。 -
tpm_ownerpassword配置选项中支持十六进制编码值。 - TLS 1.3 在到代理的连接中被启用。
提供了 libreswan 版本 4.15
在 RHEL 10 中提供了 libreswan 软件包版本 4.15 。与之前版本中提供的版本 4.12 相比,此版本提供了大量改进:
-
通过
libsystemd删除了对libxz的依赖。 -
在 IKEv1 中,默认的提议已为 Encapsulating Security Payload (ESP)设置为
aes-sha1,为 Authentication Header (AH)设置为sha1。 - IKEv1 拒绝将经过身份验证的加密与关联数据(AEAD)和非空 INTEG 合并的 ESP 提议。
- 当连接没有提议时,IKEv1 拒绝交换。
IKEv1 有一个更有限的默认密码套件:
IKE={AES_CBC,3DES_CBC}-{HMAC_SHA2_256,HMAC_SHA2_512HMAC_SHA1}-{MODP2048,MODP1536,DH19,DH31} ESP={AES_CBC,3DES_CBC}-{HMAC_SHA1_96,HMAC_SHA2_512_256,HMAC_SHA2_256_128}-{AES_GCM_16_128,AES_GCM_16_256} AH=HMAC_SHA1_96+HMAC_SHA2_512_256+HMAC_SHA2_256_128IKE={AES_CBC,3DES_CBC}-{HMAC_SHA2_256,HMAC_SHA2_512HMAC_SHA1}-{MODP2048,MODP1536,DH19,DH31} ESP={AES_CBC,3DES_CBC}-{HMAC_SHA1_96,HMAC_SHA2_512_256,HMAC_SHA2_256_128}-{AES_GCM_16_128,AES_GCM_16_256} AH=HMAC_SHA1_96+HMAC_SHA2_512_256+HMAC_SHA2_256_128Copy to Clipboard Copied! Toggle word wrap Toggle overflow -
libcap-ng库的失败不再无法恢复。 -
在
pluto工具中,为 AEAD 算法设置了 TFC 填充。
Jira:RHEL-52935[1]
在添加大量连接时,Libreswan 速度更快
在此更新之前,对于 libreswan IPsec 实现,在某些情况下需要大约 30 分钟时间才能添加 1,000 个连接。libreswan 的最新版本跳过了编号的连接上的 getservbyname() 函数,且将现有连接的验证卸载到 pluto 守护进程可显著减少大型配置文件的加载时间。因此,添加 1,000 个连接的时间应该大约 50 秒,而不是对同一配置的 30 分钟。
Jira:RHEL-74850[1]
提供了 GnuTLS 版本 3.8.9
RHEL 10 提供了 gnutls 软件包版本 3.8.9 。除了其他改进外,此版本还包含以下与早期版本不兼容的与安全相关的更改:
- 支持 TLS 中的证书压缩(RFC 8879)。
- 支持最佳非对称加密填充方案(RSA-OAEP)(RFC 8017)。
- 已添加了用于跨多个调用的任意长度的 SHAKE 哈希的增量计算的 API。
- 使用 PKCS #1 v1.5 填充的 RSA 加密和解密已弃用,默认不允许使用。
-
在 FIPS 模式中,
gnutls现在默认使用基于密码的消息身份验证代码 1 (PBMAC1)导出 PKCS #12 文件,如 RFC 9579 中所定义的。如果您需要与在 FIPS 模式下运行的系统的互操作性,请明确使用 PBMAC1。 - GnuTLS 现在检查在线证书状态协议(OCSP)响应中的所有记录。在此更新之前,当在单个 OCSP 响应中提供了多个记录时,只会检查第一个记录。此版本的 GnuTLS 会检查所有记录,直到服务器证书匹配为止。
- FIPS 模式下批准的用于验证的最小 RSA 密钥大小增加到 2048 位。
Jira:RHEL-69524[1]
提供的 OpenSSH 的版本为 9.9
RHEL 10 提供 OpenSSH 版本 9.9,与 RHEL 9 中提供的 OpenSSH 8.7 相比,其提供了很多修复和改进。有关更改的完整列表,请参阅 openssh-9.9p1/ChangeLog 文件。最重要的更改如下:
-
限制转发和使用已添加到
ssh-agent程序中的密钥的系统已添加到ssh、sshd、ssh-add和ssh-agent程序中。 对使用 FIDO 标准的改进:
-
verify-required证书选项已添加到ssh-keygen。 - 对 FIDO 密钥处理的修复减少了对支持内部用户验证的密钥的不必要的 PIN 提示。
-
检查
ssh-keygen程序中现有匹配凭证会在覆盖凭证前提示用户。
-
-
ssh_config配置文件中的新的EnableEscapeCommandline选项为交互式会话启用了EscapeChar菜单中的命令行选项。 -
新的
ChannelTimeout关键字指定sshd守护进程是否以及应该如何快速关闭不活跃的通道。 -
ssh-keygen工具默认生成 Ed25519 密钥,但在 FIPS 模式下,默认为 RSA。 -
当仅发送少量数据时,
ssh客户端通过在固定间隔发送交互式流量(默认为每 20 毫秒)来执行按键时间模糊处理。它还在最后一次实际按键操作后的随机间隔内发送假的按键操作,由ObscureKeystrokeTiming关键字定义。 - 对 DSA 密钥的支持已删除。
-
pam-ssh-agent子组件已删除。 -
ssh-keysign工具现在在单独的子软件包中。 -
使用新的
ChannelTimeout类型,如果所有通道在指定间隔内缺少流量,ssh和sshd会关闭所有打开的通道。这是对现有每个通道超时的补充。 -
sshd服务器阻止那些反复身份验证失败、反复连接但从未完成验证或导致服务器崩溃的客户端地址。 -
sshd服务器会惩罚没有成功完成身份验证的客户端地址。惩罚由sshd_config中的新的PerSourcePenalties关键字控制。 -
sshd服务器分为监听器二进制sshd和每个会话二进制sshd-session。这可减少不需要支持 SSH 协议的监听程序二进制大小。这也删除了对禁用特权隔离和禁用sshd的重新执行的支持 -
在可移植的 OpenSSH 中,
sshd不再使用argv[0]作为 PAM 服务名称。您可以使用sshd_config文件中的新的PAMServiceName指令在运行时选择服务名称。默认值为 "sshd"。 -
HostkeyAlgorithms关键字允许ssh禁用从证书主机密钥到纯主机密钥的隐式回退。 - 组件总体上已被强化,并可更好地与 PKCS #11 标准配合使用。
- 作为技术预览,OpenSSH 支持后量子密码学(PQC)。
为 pkcs11-provider 添加了自定义配置
pkcs11-provider 通过使用 OpenSSL 程序中的 pkcs11 URI 来允许直接访问硬件令牌。安装后,pkcs11-provider 会自动启用,并默认加载使用 p11-kit 驱动程序,通过 pcscd 守护进程检测到的令牌。因此,如果您使用 pkcs11 URI 规范向支持该格式的应用程序提供一个密钥 URI,则您可以通过安装无需进一步更改 OpenSSL 配置的软件包来使用系统可用的令牌。卸载软件包也会删除 OpenSSL 配置片段,这防止 OpenSSL 解析配置文件时出现错误。
文件上下文等同于在 SELinux 策略中设置为 /var/run = /run
之前的 /run = /var/run 文件上下文等同现在已反转为 /var/run = /run,且 SELinux 策略源相应地已被更新。等同已被反转为与实际文件系统状态匹配,并防止一些用户空间工具报告错误。从用户或管理员视角来看,此更改不应可见。如果您有任何包含 /var/run 文件中文件规范的自定义模块,请将其改为 /run。
Jira:RHEL-36094[1]
OpenSSL 将 pkcs11-provider 用于硬件令牌
因为 OpenSSL 3.0 弃用了引擎,并使用提供商替代了它们,所以 RHEL 10 将 openssl-pkcs11 引擎替换为 pkcs11-provider。这允许 OpenSSL 在应用程序中使用硬件令牌,如 apache HTTPD、libssh、绑定 以及与 OpenSSL 链接的其他应用程序,并使用存储在 HSM、智能卡或其他带有 PKCSGRESS 驱动程序的非对称私钥。
新的 capability.conf (5) 手册页
添加了 capability.conf (5) 手册页。它提供了对 capability.conf 配置文件和 pam_cap.so 模块参数的描述。
提供了 libkcapi 版本 1.5.0
在 RHEL 10.0 中,lib kcapi 软件包在上游版本 1.5.0 中提供。此版本提供各种 bug 修复、优化和增强,最重要的是:
-
sha*应用程序已被删除,并替换为名为kcapi-hasher的单个应用程序。与原始sha*应用程序具有等同名称的kcapi-hasher的符号链接已添加到bin和libexec目录中。这个更改不会导致任何已知的回归。 -
打印使用 SHA-3 的文件的校验和的
sha3sum命令已添加。 -
kcapi_md_sha3manufacturer 包装器 API 已添加。
Jira:RHEL-50457[1]
更严格的 SSH 主机密钥权限已被恢复
所需的主机密钥权限已从之前不太严格的 0640 改为 0600,这也是上游使用的值。之前拥有所有 SSH 密钥的 ssh_keys 组也已被删除。因此,ssh-keysign 工具使用 SUID 位,而不是 SGID 位。
Jira:RHEL-59102[1]
提供了 libssh 版本 0.11.1
提供了 libssh SSH 库版本 0.11.1 ,它提供了新的功能,最重要的是:
- 更好的异步 SFTP IO
- PKCS #11 提供者支持 OpenSSL 3.0
- 测试 GSSAPI 身份验证
- 代理跳转
提供了 p11-kit 版本 0.25.5
在 RHEL 10 中提供了 p11-kit 软件包版本 0.25.5。与之前的版本相比,这个版本提供了改进和修复,最重要的是:
-
在
p11-kitRPC 协议中已添加了对递归属性的支持。 - 添加了检查库的运行时间版本的功能。
- 无法再通过宏访问版本信息。
-
使用新的
--id选项,您可以将 ID 分配给使用generate-keypair命令生成的密钥对,或使用import-object命令导入。 -
使用新的
--provider选项,您可以在使用p11-kit命令时指定 PKCS #11 模块。 -
修复了
p11-kit中的一个 bug ,其中无法在generate-keypair中识别 EdDSA 机制。 -
当不支持
C_GetInterface函数时,p11-kit会返回到C_GetFunctionList函数。
Jira:RHEL-46898[1]
pkeyutil 现在支持封装和解封
pkeyutil OpenSSL 子命令支持执行封装和解封加密操作。新的后量子加密(PQC)算法 ML-KEM (FIPS 203)仅允许封装和解封操作,现在您可以通过 pkeyutil 使用 RSASVE 和 ML-KEM 等算法。
GnuTLS 可以使用证书压缩
如果客户端和服务器都支持,GnuTLS 会根据 RFC 8879 ,使用 zlib、brotli 或 zstd 压缩方法压缩客户端和服务器证书。此方法减少了数据使用量,并且用户不会察觉到。
Jira:RHEL-42514[1]
OpenSSL 中的新 no-atexit 选项
OpenSSL 现在使用 no-atexit 选项进行构建,因此 OPENSSL_cleanup 函数不再被注册为一个 atexit 处理程序。使用这个选项可能会导致 valgrind 调试工具报告 OpenSSL 启动时分配的资源的一次性内存泄漏。
提供了 setools 版本 4.5.0
在 RHEL 10 中提供了 setools 软件包版本 4.5.0。此版本提供了 bug 修复和增强,最重要的是:
-
信息流分析和域转换分析的图形结果已添加到
apol、sedta和seinfoflow工具中。 -
已在
apol中添加了工具提示和详情弹,以帮助跨引用查询,并分析结果以及上下文相关帮助。
RHEL 10 中提供了 NSS 版本 3.101
在 RHEL 10 中提供了 NSS 加密工具包软件包版本 3.101 ,它提供很多 bug 修复和增强。最显著的更改如下:
- 现在支持 DTLS 1.3 协议(RFC 9147)。
- PBMAC1 支持已被添加到 PKCS #12 (RFC 9579)。
-
已添加了对 X25519Kyber768Draft00 混合后量子密钥协议的实验性支持(
draft-tls-westerbaan-xyber768d00)。它将在以后的发行版本中被删除。 -
lib::pkix是 RHEL 10 中的默认验证器。 - 具有小于 2048 位密钥的 RSA 证书根据系统范围的加密策略在 SSL 服务器中停止工作。
OpenSSL 可以创建符合 FIPS 的 PKCS #12 文件
OpenSSL 安全通信套件已更新,现在可以根据 RFC 9579 文档创建 PKCS #12 文件。
DEFAULT 加密策略使用其他范围
crypto-policies 软件包现在提供额外的范围 @pkcs12,@pkcs12-legacy,@smime 和 @smime-legacy,并在 DEFAULT 系统范围加密策略中使用它们。当网络安全服务(NSS)是底层加密库时,用于 PKCS #12 和 S/MIME 的加密算法的选择现在遵循系统范围加密策略。因此,您可以使用自定义策略和子策略更轻松地选择具有较高粒度的算法。范围使用以下密码、哈希和密钥交换:
LEGACY 加密策略使用比 DEFAULT 策略不太严格的密码、哈希和密钥交换选择,而 FUTURE 策略更严格。因此,您可以自定义 NSS 中用来导入和导出 PKCS #12 文件和 S/MIME 加密以及解密的算法。NSS 目前是唯一链接到新提供的范围的加密库。
FIPS 模式下的 OpenSSH 默认生成 RSA 密钥
在以前的版本中,OpenSSH 中的 ssh-keygen 工具默认生成 RSA 密钥。在 RHEL 10 提供的版本中,ssh-keygen 默认在非 FIPS 模式下生成 ed25519 密钥,在 FIPS 模式下默认生成 RSA 密钥。
NSS 在 FIPS 模式下创建符合 FIPS 的 PKCS #12
PKCS.509 使用临时机制进行完整性检查。由于 PKCS #12 版本 1.1 的发布,已在 PKCS #5 版本 2.0 中创建了更严格的完整性检查的方法:基于密码的消息验证代码 1 (PBMAC1)。这个更新根据 RFC 9579 文档,在 PKCS #12 文件中添加了网络安全服务(NSS)的 PBMAC1 支持。因此,NSS 现在可以读取任何使用 RFC 9579 的 .p12 文件,并可在用户请求时生成符合 RFC-9579 的消息验证代码(MAC)。为了兼容性,当不在 FIPS 模式下时,NSS 默认会生成旧的 MAC。有关生成新 MAC 的更多信息,请参阅您系统上的 pk12util (1) 手册页。
提供了 opensc 版本 0.26.1
RHEL 10 在上游版本 0.26.1 中提供了 opensc 软件包。最显著的改进和 bug 修复是:
- 解密后删除了用于删除与 RSA PKCS #1 v1.5 填充相关的时间侧通道泄漏的额外修复
- 统一的 OpenSSL 日志记录
-
支持
pkcs11-tool工具中的 HKDF、RSA OEAP 加密、AES GCM 和 AES GMAC 机制 - 针对未初始化内存问题的 CVE 的修复:CVE-2024-45615, CVE-2024-45616, CVE-2024-45617, CVE-2024-45618, CVE-2024-45619 和 CVE-2024-45620
- 修复了导致在 Chromium Web 浏览器中崩溃的对齐内存的分配
- 修复了读取 TeleSec Chipcard Operating System (TCOS)卡驱动程序中的证书
OpenSC 软件包分成 opensc 和 opensc-lib
在 RHEL 10 中,opensc 软件包已被分成 opensc 和 opensc-lib 子软件包,以便在 Flatpak 应用程序中启用对智能卡的支持。
新软件包:tpm2-openssl
RHEL 10 包括新的 tpm2-openssl 软件包,其中包含 OpenSSL TLS 工具包的 TPM2 提供商。TPM2 提供商通过 OpenSSL API 启用来自受信任的平台模块(TPM) 2.0 芯片中的加密密钥。
Jira:RHEL-30799[1]
基于规则的过滤和审计事件的转发
使用新的 audisp-filter 插件,您可以以灵活的方式根据自定义 ausearch 表达式来抑制具体的审计事件,这应该减少到下游插件的不必要的输出。
此插件充当 Audit 和其他插件之间的桥梁。它过滤掉某些审计事件,并仅转发与配置文件中指定的规则对应的事件。
因此,您可以使用 allowlist 或 blocklist 模式选择性地过滤审计事件。使用 audisp-filter 的每个插件都可以定义自己的、包含匹配规则的配置文件。一个常见用例是排除嘈杂或不相关的审计事件,并仅将重要事件转发到 syslog 插件。这允许 syslog 记录过滤的事件,使审计日志更易于管理。
SELinux 策略中限制的其他服务
此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中:
-
iio-sensor-proxy -
samba-bgqd -
tlshd -
gnome-remote-desktop -
pcm-sensor-server
因此,这些服务不再使用 unconfined_service_t SELinux 标签运行,这违反了 CIS 服务器级别 2 基准 "Ensure No Daemons are Unconfined by SELinux" 规则,并在 SELinux enforcing 模式下成功运行。
CentOS Stream 10 的 selinux-policy Git 存储库现在可以公开访问
现在,CentOS Stream 贡献者可以通过为 fedora-selinux/selinux-policy Git 存储库的 c10s 分支做出贡献来参与 SELinux 策略的开发。这些贡献随后被用于改进 RHEL 10 的 SELinux 策略。
提供了 setroubleshoot 版本 3.3.35
RHEL 10 中提供了 setroubleshoot 软件包版本 3.3.35 。此版本提供各种修复和增强,最重要的是:
- 已修复对 CoreOS 的回溯追踪。
- 已更新损坏的 AppStream 元数据。
- 已使用的图标的路径已被修复为最近更新的路径。
其他 libvirt 服务的规则已添加到 SELinux 策略
以下与 libvirt 服务相关的 SELinux 类型已添加到 SELinux 策略:
-
virt_dbus_t -
virt_hook_unconfined_t -
virt_qmf_t -
virtinterfaced_t -
virtnetworkd_t -
virtnodedevd_t -
virtnwfilterd_t -
virtproxyd_t -
virtqemud_t -
virtsecretd_t -
virtstoraged_t -
virtvboxd_t -
virtvzd_t -
virtxend_t
与 EPEL 软件包相关的 SELinux 策略模块已移到 selinux-policy-epel
只与 Enterprise Linux (EPEL)存储库的额外软件包中包含的软件包,而不是任何 RHEL 软件包相关的 SELinux 策略模块已从 selinux-policy 软件包移到新的 selinux-policy-epel 软件包。因此,selinux-policy 更小,系统执行诸如重建和加载 SELinux 策略等操作更快。
提供了 SELinux 用户空间版本 3.8
RHEL 10 包含 SELinux 用户空间组件版本 3.8 。与之前的版本相比,此版本引入了改进和修复,最重要的是:
-
新的
audit2allow -C选项已添加到 CIL 输出模式中。 -
semanage工具允许修改add上的记录。 -
semanage工具不再对本地fcontext定义进行排序。 -
checkpolicy程序支持nodecon语句的 CIDR 表示法。 -
SELinux
sandbox工具支持 Wayland 显示协议。 - 策略存储中的文件上下文和所有权会在 SELinux 策略重建过程中保留。
-
二进制
file_contexts.bin文件的格式已被更改,使用旧格式的文件被忽略。新格式已优化,且不依赖于架构。您可以通过重建 SELinux 策略,以新格式创建二进制文件_contexts.bin文件。 -
selabel_lookup库调用的性能显著提高。
提供了 rsyslog 版本 8.2412.0
在 RHEL 10.0 中提供了 rsyslog 软件包版本 8.2412.0 。除了其他修复和增强,您可以将规则集绑定到 imjournal 模块。通过这种优化,可以在输入阶段过滤和处理日志消息,这减少了主消息队列上的负载。通过最大程度减少资源利用率,此功能确保更平稳地处理大量日志。
Jira:RHEL-70110[1]
提供支持 PKCS #11 的 Clevis 版本 21
RHEL 10 提供了 clevis 软件包版本 21 。此版本包含很多改进和 bug 修复,特别是:
-
添加了
clevis-pin-pkcs11子软件包,其提供了使用 PKCS #11 设备(智能卡)解锁 LUKS 加密卷的pkcs11密码。 -
添加了对
clevis-udisks2子软件包的两个检查。 - 添加了防止 "Address in use" 错误的修复。
提供了 jose 版本 14
在 RHEL 10 中提供了 jose 软件包版本 14。jose 工具是一种 Javascript 对象签名和加密(JOSE)标准的 C 语言实现。最重要的改进和修复包括:
-
改进了对 OpenSSL 中
octJWK 类型的len函数的绑定检查,作为对 SAST(静态应用程序安全测试)报告的错误的一个修复。 -
受保护的 JSON Web 加密(JWE)标头不再包含
zip。 -
jose工具通过使用高解压缩块避免了潜在的拒绝服务(DoS)攻击。
提供了 Keylime 版本 7.12
RHEL 10 提供了 Keylime 版本 7.12,其提供了重要的修复和增强,最重要的是:
-
新的
keylime-policy工具将 Keylime 运行时策略的所有管理任务与已测量的引导策略集成在一起,并改进了生成策略的性能。 -
verifier和tenantKeylime 组件不再需要agent组件的有效负载。
提供了 libreswan 版本 5.2
在 RHEL 10 中,提供 Libreswan 上游版本 5.2。此版本提供很多 bug 修复和增强,最重要的是:
-
whack命令的重复的--ctlsocket选项已修复(RHEL-75605)。 - 交叉流的预期失败已修复(RHEL-73236)。
- 解析 protoport 配置已优化(RHEL-74850)。
-
ipsec showhostkey命令的不正确输出已修复(RHEL-75975)。 -
执行
ipsec --rereadsecrets时崩溃已修复(RHEL-69403)。 -
keyingtries和dpd*选项被忽略。 -
引进了网络命名空间的
ipsec-interface-managed=no选项。 特定于 Linux 的更新:
- 添加了对 Linux 内核 6.7 及更高版本中数据包卸载计数器的支持。
- 根据 RFC 9347 实现 IP-TFS (IP 流量流安全)支持。
- 通过对出站 SA 上的重播窗口设置为 0 来确保与 Linux 内核 6.10+ 的兼容。
-
修复了与入站安全关联(SA)上
nopmtudisc设置相关的问题。IKEv2 改进: - 引入了对 RFC 5723 IKE 会话恢复的支持,启用了不需要重新身份验证的会话恢复。
-
添加了对
draft-ietf-ipsecme-ikev2-qr-alt-04的支持,增强了密钥交换机制。 - 在 INTERMEDIATE 交换中实现了 PPK (Post-quantum Pre-shared Key),以提高安全性。
- 注意
-
使用带有 SHA-1 的 PKCS #1 1.5 RSA 的对等验证需要使用自定义加密策略子策略在 NSS 中明确允许 SHA-1 签名。在经过身份验证的对等不支持 RFC 7427 时,当配置了
authby=rsa-sha1或在默认配置中时,这是必需的。
SSH 现在提供了一个链接,其中包含有关 SSH 登录错误消息的更多详情
如果出现早期错误,ssh 命令行工具会提供一个到红帽客户门户网站页面的链接,其中包含有关常见错误消息和解决它们的步骤的更多详情。这在使用交互模式时帮助对 SSH 登录问题进行故障排除。
Jira:RHEL-62718[1]
提供了 nettle 版本 3.10.1
RHEL 10 包含 nettle 库软件包版本 3.10.1 。此版本提供各种 bug 修复、优化和增强,最重要的是:
- SHA-256 哈希、AES-GCM 加密和 AES 解密通常在 64 位 PowerPC 上得到了优化。
- 添加了一个新的确定性随机位生成器 DRBG-CTR-AES256。
- 添加了一个 SHA-3 系列的任意长度哈希函数 SHAKE-128。
- 添加了对 RSA-OAEP 方案的支持。
- 添加了 SHAKE 哈希算法的增量接口。
Jira:RHEL-79116[1]
OpenSCAP rebase 到 1.3.12
OpenSCAP 软件包已更新到上游版本 1.3.12。这个版本提供 bug 修复和各种改进。如需更多信息,请参阅 OpenSCAP 发行注记。
0.1.76 中提供的 SCAP 安全指南
详情请参阅 SCAP 安全指南发行注记。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}