第 16 章 安全性

通常每个 Linux 用户都会根据 SELinux 策略与一个 SELinux 用户对应，这样可让 Linux 用户继承 SELinux 用户中采用的限制。有一个默认映射可将 Linux 用户与 SELinux unconfined_u 用户对应。

在 Red Hat Enterprise Linux 7 中，用来 chroot 用户的 ChrootDirectory 选项可与未限制的用户一同使用而无需任何更改，但对已受限制的用户，比如 staff_u, user_u 或者 guest_u，则必须设置 SELinux selinuxuser_use_ssh_chroot 变量。建议管理员在使用 ChrootDirectory 选项获得更高的安全性时为所有使用 chroot 的用户使用 guest_u 用户。

Red Hat Enterprise Linux 7.0 使用 AuthenticationMethods 支持多个在 SSH 协议版本 2 中需要的认证。这个选项列出一个或者多个逗号分开的认证方法名称列表。成功完成所有列表中的所有方法以便完成认证。这样可在为用户提供密码认证前有权利使用公钥或者 GSSAPI。

GSS Proxy 是代表其他应用程序建立 GSS API Kerberos 上下文的系统服务。这个服务可使安全性受益，例如：当访问由不同进程共享的系统密钥表时，对该进程的成功攻击可导致 Kerberos 扮演所有其他进程。

已将 nss 软件包升级为 upstream 版本 3.15.2。在线证书状态协议（OCSP）不再接受信息摘要算法 2（MD2）、MD4 和 MD5 签名，而采用其处理常规证书签名的算法。

在与 TLS 1.2 协商时添加了高级加密标准 Galois 计时器模式（AES-GCM）密码组（RFC 5288 和 RFC 5289）。特别是支持以下密码组：

SCAP 工作台是一个 GUI 前端，可为 SCAP 内容提供扫描功能。SCAP 工作台在 Red Hat Enterprise Linux 7.0 是作为技术预览提供。

您可以在 upstream 项目中查找详细信息：

https://fedorahosted.org/scap-workbench/

Red Hat Enterprise Linux 7.0 中包括 OSCAP Anaconda 附加组件作为技术预览。该附加组件在安装过程中整合了 OpenSCAP 程序，并让系统按照 SCAP 内容给出的限制进行安装。