8.2. 安全性

scap-workbench 已删除

scap-workbench 软件包在 RHEL 10 中已删除。scap-workbench 图形工具被设计为在单个本地或远程系统上执行配置和漏洞扫描。作为一种替代方案，您可以使用 oscap 命令扫描本地系统的配置是否合规，使用 oscap-ssh 命令扫描远程系统的配置是否合规。如需更多信息，请参阅配置合规性扫描。

oscap-anaconda-addon 已删除

提供使用图形安装部署符合基准的 RHEL 系统的方法的 oscap-anaconda-addon 在 RHEL 10 中已删除。作为一种替代方案，您可以通过 使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像 来构建符合特定标准的 RHEL 镜像。

CVE OVALv2 feed 不再提供

RHEL 10 不提供通用漏洞评估语言(CVE)开放漏洞评估语言(OVAL)版本 2 源（包含由 OpenSCAP 套件处理的声明安全数据）。红帽将继续以通用安全公告框架(CSAF)格式和漏洞利用性 eXchange (VEX)文件提供声明的安全数据，它们是 CVE OVALv2 源的后续者。OpenSCAP 套件保留 OVAL 模块，因此仍然可以使用 OVAL 数据格式。

DSA 和 SEED 算法已从 NSS 中删除

由国家标准与技术研究院(NIST)创建的、现在被 NIST 完全弃用的数字签名算法(DSA)已从网络安全服务(NSS)加密库中删除。您可以改为使用 RSA 和 ECDSA 等算法。

fips-mode-setup 已删除

fips-mode-setup 命令已从 RHEL 中删除。要启用联邦信息处理标准(FIPS) 140 强制的加密模块自检，请在系统安装过程中启用 FIPS 模式。如需更多信息，请参阅 安全强化 文档中的 将 RHEL 切换到 FIPS 模式一章。

删除了 /etc/system-fips

对通过 /etc/system-fips 文件表示 FIPS 模式的支持已从 RHEL 中删除。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以通过显示 /proc/sys/crypto/fips_enabled 文件来检查 RHEL 是否在 FIPS 模式下运行。

心跳从 TLS 中删除了

对 TLS 中 HeartBeat 扩展的支持已删除，以减少攻击面。

SRP 身份验证从 TLS 中删除了

在 TLS 中使用 Secure Remote Password 协议(SRP)的身份验证已从 gnutls 软件包中删除，且不再被支持。SRP 身份验证被视为不安全，因为它无法与 TLS 1.3 一起使用，并依赖 Cipher 块链(CBC)和 SHA-1 作为密钥交换。

Keylime 不再支持 HTTP 用于撤销通知

Keylime 组件不再支持 HTTP 协议用于撤销通知 Webhook 。改为使用 HTTPS。因此，Keylime 验证器现在需要撤销通知 Webhook 服务器 CA 证书。您可以将其添加到 trusted_server_ca 配置选项中，或者将其添加到系统信任存储中。

DEFAULT 加密策略拒绝带有 RSA 密钥交换的 TLS 密码

使用 RSA 密钥交换的 TLS 密码不再在 RHEL 10 的 DEFAULT 系统范围加密策略中被接受。这些密码不提供完美的转发保密性，且不被视为与使用其他密钥交换的密码那样安全，例如 Elliptic-curve Diffie-Hellman (ECDH)密钥交换。

ca-certificates truststore 移动

/etc/pki/tls/certs 信任存储转换为为 OpenSSL 更好地优化的不同格式。因此，如果您直接使用 /etc/pki/tls/certs 中的文件，请切换到 /etc/pki/ca-trust/extracted 目录，其中存储了同样的数据。例如，通过 /etc/pki/tls/certs/ca-bundle.crt 访问信任捆绑包的软件应该切换为使用 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem。

LEGACY 加密策略在 TLS 中不允许 SHA-1 签名

RHEL 10 中的 LEGACY 系统范围加密策略不再允许在 TLS 上下文中创建或验证使用 SHA-1 的签名。因此，无论什么用例，OpenSSL 以外的库可能不再接受或创建任何使用 SHA-1 的签名。如果系统处于 LEGACY ，或者此功能使用自定义子策略重新启用了，则在不用于 TLS 时，OpenSSL 继续接受使用 SHA-1 的签名。

pam_ssh_agent_auth 已删除

pam_ssh_agent_auth 软件包已从 RHEL 10 中删除。

OpenSSL 在 TLS 中不再在 SECLEVEL=2 上允许 SHA-1

在 RHEL 10 中的 TLS 中，OpenSSL 不接受 SECLEVEL=2 上的 SHA-1 算法。如果您的场景需要使用 TLS 1.0/1.1，ze'vzev您必须明确设置 SECLEVEL=0，并切换到 LEGACY 系统范围加密策略。在 LEGACY 策略中，在 TLS 外的签名中使用 SHA-1 的应用将继续工作。

stunnel 不支持 OpenSSL ENGINE API

stunnel TLS 卸载和负载均衡代理不再支持之前弃用的 OpenSSL ENGINE API。最常见的用例是，通过 openssl-pkcs11 软件包，使用 PKCS #11 访问硬件安全令牌。作为替换，您可以使用 pkcs11-provider，它使用新的 OpenSSL 提供者 API。

OpenSSL Engine 已从 OpenSSL 中删除

OpenSSL Engine 已被弃用，并将不久从上游中删除。因此，在 RHEL 10 中，openssl-pkcs11 软件包已从 OpenSSL 中删除。改为使用提供者，如 pkcs11-provider，其在这个版本中支持。

Keylime 策略管理脚本已删除，并被替换为 keylime-policy

在 RHEL 10 中，Keylime 是由 keylime-policy 工具提供的，它替换了以下策略管理脚本：