6.2. 安全性

RHEL 中的加密 DNS 作为技术预览提供

您可以启用加密的 DNS 来保护使用 DNS-over-TLS (DoT)的 DNS 通信。加密 DNS (eDNS)加密所有 DNS 流量端到端，且不回退到不安全的协议，并与零信任架构(ZTA)原则一致。

要使用 eDNS 执行新安装，请使用内核命令行指定启用了 DoT 的 DNS 服务器。这样可确保加密 DNS 在安装过程中、引导时间和安装的系统中处于活跃状态。如果您需要自定义 CA 证书捆绑包，则只能使用 Kickstart 文件中的 %certificate 部分安装它。目前，自定义 CA 捆绑包只能通过 Kickstart 安装安装。

在现有系统上，将 NetworkManager 配置为使用新的 DNS 插件 dnsconfd，后者为 eDNS 管理本地 DNS 解析器(unbound)。添加内核参数来为早期引导过程配置 eDNS，并选择性地安装自定义 CA 捆绑包。

此外，身份管理(IdM)部署也可以使用加密的 DNS 服务器以及支持 DoT 的集成 DNS 服务器。

如需了解更多详细信息，请参阅使用加密 DNS 保护系统 DNS 流量。

Jira:RHELDOCS-20059^[1], Jira:RHEL-67913

gnutls 现在使用 kTLS 作为技术预览

更新的 gnutls 软件包可以将内核 TLS (kTLS)作为技术预览，来在加密通道上加速数据传输。要启用 kTLS，请使用 modprobe 命令添加 tls.ko 内核模块，并使用以下内容为系统范围的加密策略创建一个新的配置文件 /etc/crypto-policies/local.d/gnutls-ktls.txt ：

[global]
ktls = true

[global]
ktls = true

Copy to Clipboard

Toggle word wrap

请注意，当前版本不支持通过 TLS KeyUpdate 消息更新流量密钥，这会影响 AES-GCM passwordsuites 的安全性。如需更多信息，请参阅 RFC 7841 - TLS 1.3 文档。

Jira:RHELPLAN-128129^[1]

OpenSSL 客户端可以使用 QUIC 协议作为技术预览

OpenSSL 可以在带有 rebase 到 OpenSSL 版本 3.2.2 的客户端上使用 QUIC 传输层网络协议作为技术预览。

Jira:RHELDOCS-18935^[1]

io_uring 接口作为技术预览提供

io_uring 是一个新的有效的异步 I/O 接口，现在作为技术预览提供。默认情况下禁用此功能。您可以通过将 kernel.io_uring_disabled sysctl 变量设置为以下值之一来启用这个接口：

0: 所有进程都可以正常创建 io_uring 实例。
1: 对非特权进程，io_uring 创建被禁用。io_uring_setup 失败并显示 -EPERM 错误，除非调用过程具有 CAP_SYS_ADMIN 功能的特权。仍可使用现有的 io_uring 实例。
2: 对所有进程，io_uring 创建被禁用。io_uring_setup 使用 -EPERM 总是失败。仍可使用现有的 io_uring 实例。这是默认设置。

使用此功能也需要 SELinux 策略的更新版本，来在匿名内节点上启用 mmap 系统调用。

通过使用 io_uring 命令直通，应用程序可以直接向底层硬件发出命令，如 nvme。

Jira:RHEL-11792^[1]

6.2. 安全性

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links