7.2. 安全性

Keylime 策略管理脚本已弃用，并替换为 keylime-policy

在 RHEL 9.6 中，Keylime 由 keylime-policy 工具提供，它替换了以下策略管理脚本：

OVAL 在漏洞扫描应用程序中已弃用

开放漏洞评估语言(OVAL)数据格式（其提供由 OpenSCAP 套件处理的声明安全数据）已被弃用，并将在以后的主发行版本中删除。红帽继续以通用安全公告框架(CSAF)格式提供声明的安全数据，这是 OVAL 的后续者。

libgcrypt 已弃用

libgcrypt 软件包提供的 Libgcrypt 加密库已弃用，并可能在以后的主发行版本中删除。改为使用 RHEL 核心加密组件 中列出的库(红帽知识库)。

fips-mode-setup 已弃用

将系统切换到 FIPS 模式的 fips-mode-setup 工具在 RHEL 9 中已弃用。您仍然可以使用 fips-mode-setup 命令检查是否启用了 FIPS 模式。

使用没有参数的 update-ca-trust 已弃用

在以前的版本中，命令 update-ca-trust 会更新系统证书颁发机构(CA)存储，而无论输入了什么参数。此更新引进了 extract 子命令，以更新 CA 存储。您还可以使用 --output 参数指定提取 CA 证书的位置。为了与早期版本的 RHEL 兼容，请输入 update-ca-trust 来使用除 -o 或 --help 以外的任何参数，甚至没有任何参数来更新 CA 存储，在 RHEL 9 期间仍被支持，但将由下一个主发行版本中删除。更新对 update-ca-trust extract 的调用。

指向 Stunnel 客户端中可信根证书文件的 CAfile 已弃用

如果 Stunnel 是在客户端模式下配置的，则 CAfile 指令可指向一个包含 BEGIN TRUSTED CERTIFICATE 格式的可信根证书的文件。这个方法已弃用，并可能在以后的主发行版本中删除。在以后的版本中，stunnel 将 CAfile 指令的值传递给一个不支持 BEGIN TRUSTED CERTIFICATE 格式的函数。因此，如果您使用 CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt，请将位置改为 CAfile = /etc/pki/tls/certs/ca-bundle.crt。

DSA 和 SEED 算法已在 NSS 中弃用

由美国国家标准和技术研究院(NIST)创建的、现在被 NIST 完全弃用的数字签名算法(DSA)在网络安全服务(NSS)加密库中已弃用。您可以使用 RSA、ECDSA 和 EdDSA 等算法。

pam_ssh_agent_auth 已弃用

pam_ssh_agent_auth 软件包已弃用，并可能会在以后的主发行版本中删除。

compat-openssl11 已弃用

OpenSSL 1.1 的兼容性库 compat-openssl11 现在已弃用，并可能会在以后的主发行版本中删除。OpenSSL 1.1 不再在上游维护，且使用 OpenSSL TLS 工具包的应用程序应迁移到版本 3.x。

SHA-1 在 OpenSSL 中的 SECLEVEL=2 中被弃用

在 SECLEVEL=2 中使用 SHA-1 算法已在 OpenSSL 中弃用，并可能在以后的主发行版本中删除。

OpenSSL Engines API 已在 Stunnel 中弃用

在 Stunnel 中使用 OpenSSL Engine API 已弃用，并将在以后的主发行版本中删除。最常见的用途是通过 openssl-pkcs11 软件包访问使用 PKCS#11 的硬件安全令牌。作为替换，您可以使用 pkcs11-provider，其使用新的 OpenSSL Providers API。

OpenSSL Engine 已弃用

OpenSSL Engine 已弃用，并将在不久的将来被删除。您可以使用 pkcs11-provider 作为一种替换，而不是使用引擎。

DSA 在 GnuTLS 中已弃用

数字签名算法(DSA)在 GnuTLS 安全通信库中已弃用，并将在以后的 RHEL 的主版本中删除。DSA 之前已被美国国家标准与技术研究院(NIST)弃用，并被视为是不安全的。您可以改为使用 ECDSA 来确保与将来版本的兼容。

scap-workbench 已弃用

scap-workbench 软件包已弃用。scap-workbench 图形工具被设计为在单个本地或远程系统上执行配置和漏洞扫描。作为一种替代方案，您可以使用 oscap 命令扫描本地系统的配置是否合规，使用 oscap-ssh 命令扫描远程系统的配置是否合规。如需更多信息，请参阅配置合规性扫描。

oscap-anaconda-addon 已弃用

通过使用图形安装为部署符合基准的 RHEL 系统提供方法的 oscap-anaconda-addon 已弃用。作为一种替代方案，您可以通过 使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像 来构建符合特定标准的 RHEL 镜像。

对于加密目的，SHA-1 已被弃用

使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的，因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新，以避免在与安全相关的用例中使用 SHA-1。

fapolicyd.rules 已被弃用

包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理，但只是为了保证向后兼容。

在 RHEL 9 中弃用 SCP

安全复制协议(SCP)已弃用，因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期，但使用它可以降低系统安全性。

OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充

OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见，很少使用。请注意，带有 RSA (RSASVE)的密钥封装不使用填充，但仍支持。

openssl 弃用了 Engines API

OpenSSL 3.0 TLS 工具包弃用了 Engines API。引擎接口被提供方 API 替代。将应用程序和现有引擎迁移到提供方正在进行。弃用的 Engines API 可能在以后的主发行版本中删除。

openssl-pkcs11 现已弃用

作为已弃用的 OpenSSL 引擎正在迁移到提供方 API 的一部分，pkcs11-provider 软件包替换了 openssl-pkcs11 软件包(engine_pkcs11)。openssl-pkcs11 软件包现已弃用。openssl-pkcs11 软件包可能会在以后的主发行版本中删除。

RHEL 8 和 9 OpenSSL 证书和签名容器现已弃用

红帽生态系统目录中的 ubi8/openssl 和 ubi9/openssl 存储库中提供的 OpenSSL 可移植证书和签名容器现已弃用。

SASL 中的 digest-MD5 已被弃用

Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用，并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。

/etc/system-fips 现已弃用

支持通过 /etc/system-fips 文件指定 FIPS 模式，该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL，请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以通过显示 /proc/sys/crypto/fips_enabled 文件来检查 RHEL 是否在 FIPS 模式下运行。

libcrypt.so.1 现已弃用

libcrypt.so.1 库现已弃用，它可能会在以后的 RHEL 版本中删除。

OpenSSL 在 FIPS 模式下不接受显式 curve 参数

指定显式 curve 参数的 Elliptic curve 加密参数、私钥、公钥和证书不能在 FIPS 模式下继续工作。使用 ASN.1 对象标识符（其使用 FIPS 批准的 curve 之一）指定 curve 参数，仍可在 FIPS 模式下继续工作。

OpenSSL 在 FIPS 模式下拒绝带有 X9.31 padding 的 RSA 签名

因为 X9.31 RSA 签名已从 FIPS 186-5 标准中删除，因此 OpenSSL 不再支持使用 FIPS 模式 X9.31 padding 的 RSA 密钥签名或签名验证。