第 13 章 安全性
在基本系统组件中添加了 TLS 1.2 支持
通过这些更新,基本系统工具(如
yum、stunnel、vsftpd、Git 或 Postfix )已修改为支持 TLS 协议的 1.2 版本。这是为了确保工具不会受到较旧版本的协议存在的安全漏洞的影响。(BZ#1253743)
NSS 现在默认启用 TLS 版本 1.2 协议
为了满足当前最佳安全实践,在 NSS 中默认启用传输层安全(TLS) 1.2 协议。这意味着,在使用 NSS 库默认值的应用程序中,不再需要显式启用它。
如果 TLS 连接两端都启用 TLS 1.2,则会自动使用此协议版本。(BZ#1272504)
pycurl 现在提供需要 TLSv1.1 或 1.2 的选项
在这个版本中,
pycurl 已被改进来支持选项,它们需要使用 TLS 协议的 1.1 或 1.2 版本,这可以提高通信的安全性。(BZ#1260406)
PHP cURL 模块现在支持 TLS 1.1 和 TLS 1.2
Openswan 弃用了 libreswan
openswan 软件包已弃用,libreswan 软件包已作为
openswan 的直接替换。Libreswan 是 Red Hat Enterprise Linux 6 的稳定和安全的 VPN 解决方案。Libreswan 已作为 Red Hat Enterprise Linux 7 的 VPN 端点解决方案提供。在系统升级过程中,Openswan 将被 libreswan 替代。有关如何从 openswan 迁移到 libreswan 的说明,请参阅 https://access.redhat.com/articles/2089191。
请注意,openswan 软件包在存储库中仍然可用。要安装
openswan 而不是 libreswan,请使用 yum 的 -x 选项排除 libreswan:yum install openswan -x libreswan。(BZ#1266222)
为 GlusterFS 添加了 SELinux 支持
有了这个更新,SELinux 强制访问控制为 glusterd (GlusterFS 管理服务)和 glusterfsd (NFS 服务器)进程作为 Red Hat Gluster Storage 的一部分提供。(BZ#1241112)
shadow-utils rebase 到版本 4.1.5.1
shadow-utils 软件包(提供用于管理用户和组帐户的工具)已 rebase 到版本 4.1.5.1。这与 Red Hat Enterprise Linux 7 中的 shadow-utils 版本相同。增强功能包括改进的审计,它已被修正,为 user-account 数据库提供更好的 system-administrator 操作记录。向这个软件包添加的主要新功能是使用相应工具的-
root 选项在 chroot 环境中操作的支持。(BZ#1257643)
audit rebase 到版本 2.4.5
审计 软件包(提供用于存储和搜索 Linux 内核中审计子系统生成的
审计记录 )的审计软件包已 rebase 到版本 2.4.5。这个版本包括了增强的事件解释工具,它提供更多系统调用名称和参数,以便更轻松地了解事件。
在这个版本中,在
auditd 将事件记录到磁盘的方式也有重要行为变化。如果您在 auditd.conf 中对 flush 设置 使用数据 或同步模式,则 auditd 能够记录事件的能力会降低性能。flush 设置应更改为 incremental,freq 设置将控制 kernel 指示所有记录同步到磁盘的频率。100 的 freq 设置应该提供良好的性能,同时确保定期将新记录刷新到磁盘。(BZ#1257650)
LWP 现在支持主机名和证书验证
默认情况下,证书和 host-name 验证已在 Perl 的 World Wide Web 库中实现(也称为 libwww-perl)。这允许
LWP::UserAgent Perl 模块的用户验证 HTTPS 服务器的身份。要启用验证,请确保已安装 IO::Socket::SSL Perl 模块,并且 PERL_LWP_SSL_VERIFY_HOSTNAME 环境变量设置为 1,或者修改应用程序以正确设置 ssl_opts 选项。如需了解更多详细信息,请参阅 LWP::UserAgent POD。(BZ#745800)
Perl Net:SSLeay 现在支持 elliptic curve 参数
Perl
Net:SSLeay 模块添加了对 elliptic-curve 参数的支持,其中包含到 OpenSSL 库的绑定。名称,EC_KEY_new_by_curve_name (), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh (), 和 OBJ_txt2nid () 子程序() 子程序已被上游移植。这是对 IO::Socket::SSL Perl 模块中的 Elliptic Curve Diffie-Hellman Exchange (ECDHE)密钥交换的支持。(BZ#1044401)
Perl IO::Socket::SSL 现在支持 ECDHE
在
IO::Socket::SSL Perl 模块中添加了对 Elliptic Curve Diffie-Hellman Exchange (ECDHE)的支持。新的 SSL_ecdh_curve 选项可用于指定对象标识符(OID)或名称标识符(NID)的适当 curve。现在,在使用 IO::Socket:SSL 实施 TLS 客户端时,可以覆盖默认的 elliptic curve 参数。(BZ#1078084)
openscap rebase 到版本 1.2.8
OpenSCAP 是提供 SCAP 标准集成路径的一组库,已 rebase 到 1.2.8 (最新的上游版本)。主要改进包括支持 OVAL-5.11 和 OVAL-5.11.1 语言版本、引入详细模式,这有助于了解运行扫描的详情、两个新命令 oscap-ssh 和 oscap-vm 分别扫描和扫描不活动虚拟系统,对 bz2 归档的原生支持,以及 HTML 报告和指南的现代接口。(BZ#1259037)
scap-workbench 被 rebase 到版本 1.1.1
scap-workbench 软件包已 rebase 到版本 1.1.1,它提供了一个新的 SCAP 安全指南集成对话框。它可以帮助管理员选择需要扫描的产品,而不是选择内容文件。新版本还提供很多性能和用户的功能改进,包括在定制窗口中改进的规则搜索,以及使用 GUI 在 SCAP 内容中获取远程资源的可能性。(BZ#1269551)
scap-security-guide rebase 到版本 0.1.28
scap-security-guide 软件包已更新到最新的上游版本(0.1.28),它提供很多重要的修复和增强。它们包括对 Red Hat Enterprise Linux 6 和 7 的一些改进或完全新的配置集,为多个规则添加自动检查和补救脚本,这些 ID 在版本间是一致的,或每个配置集附带的 HTML 格式的指南。(BZ#1267509)
在 luci中禁用了 SSLv3 和 RC4 的支持
在
luci 中禁用了不安全的 SSLv3 协议和 RC4 算法的使用,它基于 Web 的高可用性管理应用程序。默认情况下,只允许 TLSv1.0 及更高的协议版本,用于自我管理的证书的摘要算法已更新至版本 SHA256。可以重新启用 SSLv3 (通过在 /etc/sysconfig/luci 配置文件的相关部分中取消注释 allow_insecure 选项),但这只适用于不太可能且无法预计的情况,应该谨慎使用。
这个版本还添加了调整最重要的 SSL/TLS 属性(除了上述
allow_insecure外)的可能性:证书对的路径和密码列表。这些设置可以在全局范围内使用,也可以同时用于安全通道(HTTPS Web UI 访问和与 ricci 实例的连接)。(BZ#1156167)
