第 11 章 安全性

除了 GnuTLS 组件增加了 TLS 1.2 的支持，Red Hat Enterprise Linux 6 在提供的安全库中提供对 TLS 1.2 的完整支持： OpenSSL、NSS 和 GnuTLS。几个现代标准，如 PCI-DSS v3.1，推荐最新的 TLS 协议，该协议目前是 TLS 1.2。通过这个添加，您可以使用带有将来的安全标准的 Red Hat Enterprise Linux 6，这可能需要 TLS 1.2 支持。

有关 Red Hat Enterprise Linux 6 中的加密更改的更多信息，请参阅红帽客户门户网站中的文章 ：https://access.redhat.com/blogs/766093/posts/2787271。(BZ#1339222)

OpenSCAP 1.2.13 已通过美国通用漏洞和公开(CVE)选项的 Authenticated Configuration Scanner 类别中的国家标准与技术研究院(NIST)安全内容自动化协议(SCAP) 1.2 认证。OpenSCAP 提供了一个库，可以解析和评估 SCAP 标准的每个组件。这使得创建新的 SCAP 工具变得更加方便。另外，OpenSCAP 提供了一个多用途工具，用于基于此内容将内容格式化为文档或扫描系统。(BZ#1364207)

Very 安全文件传输协议(FTP)守护进程(vsftpd)用户可以选择 TLS 协议的特定版本，最多为 1.2。TLS 1.2 默认启用，使 vsftpd 的安全性与 Red Hat Enterprise Linux 7 中的相同软件包相同。添加了特定于 TLS 1.2 的新默认密码： ECDHE-RSA-AES256-GCM-SHA384 和 ECDHE-ECDSA-AES256-GCM-SHA384。这些更改不会破坏现有配置。(BZ#1350724)

audit 守护进程现在支持一个新的 flush 技术，名为 incremental_async。这个新模式可显著改进审计守护进程 的日志记录 性能，从而保持短暂的清除间隔。(BZ#1369249)

scap-security-guide 项目现在支持扫描 Red Hat Enterprise Linux 的 ComputeNode 变体，scap-security-guide 软件包也会在相关频道中发布。(BZ#1311491)

在这个版本中，rsyslog7 多线程 syslog 守护进程会在 GnuTLS 组件中显式启用 TLS 1.2。(BZ#1323199)