第 15 章 安全性
SELinux 用户空间软件包 rebase 到版本 2.5
SELinux 用户空间软件包升级至上游版本 2.5,它提供了很多改进、错误修复和性能改进。SELinux 用户空间 2.5 中最重要的新功能包括:
- 新的 SELinux 模块存储支持优先级。优先级概念提供了使用较高优先级模块覆盖系统模块的功能。
- SELinux 通用中间语言(CIL)提供了明确且简单的语法,这些语法易于读取、解析,并由高级别编译器、分析工具和策略生成工具生成。
- 现在,耗时的 SELinux 操作(如策略安装或载入新策略模块)会非常快。
注:SELinux 模块的默认位置保留在 Red Hat Enterprise Linux 7 中的
/etc/selinux/ 目录中,上游版本使用 /var/lib/selinux/。要为迁移更改此位置,请在 /etc/selinux/semanage.conf 文件中设置 store-root= 选项。(BZ#1297815)
scap-workbench rebase 到版本 1.1.2
scap-workbench 软件包已更新至 1.1.2 版本,它提供了一个新的 SCAP 安全指南集成对话框。该对话框可帮助管理员选择需要扫描的产品,而不是选择内容文件。新版本还提供大量性能和用户专家改进,包括改进定制窗口中的规则搜索,可以使用 GUI 在 SCAP 内容中获取远程资源,以及空运行功能。dry-run 功能允许用户向诊断窗口获取 oscap 命令行参数,而不是运行扫描。(BZ#1202854)
openscap rebase 到版本 1.2.10
启用集成安全内容自动化协议(SCAP)行的 OpenSCAP 套件已 rebase 到版本 1.2.10,它是最新的上游版本。openscap 软件包提供 OpenSCAP 库和
oscap 工具。最重要的是,这个更新添加了对使用 atomic scan 命令扫描容器的支持。另外,这个更新提供以下改进:
oscap-vm,这是用于虚拟机离线扫描的工具oscap-chroot,这是对挂载在任意路径的文件系统离线扫描的工具- 完全支持开放漏洞和评估语言(OVAL) 5.11.1
- 对远程 .xml.bz2 文件的原生支持
- 根据各种标准对 HTML 报告结果进行分组
- HTML 报告改进
- 用于调试 OVAL 评估的详细模式(BZ1278147)
firewalld rebase 到版本 0.4.3.2
firewalld 软件包已升级到上游版本 0.4.3.2,它提供很多改进和程序错误修复。主要变化包括:
- 性能改进:
firewalld启动并重启会因为新的事务模型同时将规则分组在一起。这个模型使用iptablesrestore 命令。另外,firewall-cmd、firewall-offline-cmd、firewall-config和firewall-applet工具已被改进,并考虑性能。 - 改进了连接、接口和源的管理:用户现在可以控制
NetworkManager中连接的区设置。此外,接口的区设置也由firewalld和ifcfg文件控制。 - 默认日志记录选项:使用新的
LogDenied设置,用户可以轻松地调试并记录被拒绝的数据包。 ipset支持:firewalld现在支持多个 IP 集作为区源,在丰富的和直接规则内支持。请注意,在 Red Hat Enterprise Linux 7.3 中,firewalld仅支持以下ipset类型:- hash:net
- hash:ip (BZ#1302802)
audit rebase 到版本 2.6.5
audit 软件包包含用于存储和搜索由 Linux 内核中审计子系统生成的审计记录的用户空间工具。audit 软件包已升级到上游版本 2.6.5,它提供很多改进和程序错误修复。主要变化包括:
- 审计守护进程现在包含一个名为
incremental_async的新冲刷技术,它大约提高了 90 次的性能。 审计系统现在有许多规则可以组成到审计策略中。其中一些新规则包括对安全技术实施指南(STIG)、PCI 数据安全标准和其他功能的支持,如审计出现 32 位系统调用、显著功耗或模块加载。auditd.conf配置文件和 auditctl 命令现在支持许多新选项。
现在支持 MACsec (IEEE 802.1AE)
在这个版本中,支持通过以太网进行 Media Access Control Security (MACsec)加密。MACsec 使用 GCM-AES-128 算法加密并验证 LAN 中的所有流量。(BZ#1104151)
rsyslog RELP 模块现在绑定到特定的规则集
在这个版本中,rsyslog 可靠的事件日志记录协议(RELP)模块现在可以绑定到每个输入实例的特定规则集。
input () 实例规则集的优先级高于 module () 规则集。(BZ#1223566)
rsyslog imfile 模块现在支持通配符文件名
rsyslog 软件包提供了一个增强的、多线程的 syslog 守护进程。在这个版本中,rsyslog imfile 模块支持在文件名中使用通配符,并将实际文件名添加到消息的元数据中。当 rsyslog 需要读取目录下的日志且无法提前知道文件的名称时,这非常有用。(BZ#1303617)
audit.log 中的 syscalls 现在转换为文本
有了这个更新,
auditd 在将系统调用号转发到 syslog 守护进程之前,先将其转换为 syslog 守护进程。audit 子系统现在可以按进程名称过滤
用户现在可以根据可执行文件名称进行审核(使用 -F exe=<path-to-executable> 选项),该选项允许表达式许多新的审计规则。您可以使用此功能检测事件,如 bash shell 打开网络连接。(BZ#1135562)
mod_security_crs rebase 到版本 2.2.9
mod_security_crs 软件包已升级到上游版本 2.2.9,它提供很多程序错误修复和增强。主要变更包括:
- 用于检测 PHP 漏洞的新 PHP 规则(958977)。
JS 覆盖文件来识别成功的 XSS 探测。- 新的 XSS 检测规则。
- 修复了会话劫持规则。(BZ#1150614)
opencryptoki rebase 到版本 3.5
opencryptoki 软件包已升级到 3.5 版本,它提供很多程序错误修复和增强。
主要变更包括:
- 如果不存在,cryptoki 服务会自动创建
lock/和log/目录。 PKCSthe API 支持在所有令牌中使用 SHA 哈希的基于哈希的消息验证代码(HMAC)。openCryptoki库提供了OPENCRYPTOKI_TRACE_LEVEL环境变量的动态追踪集。(BZ#1185421)
gnutls 现在使用中央证书存储
gnutls 软件包提供 GNU Transport Layer Security (GnuTLS)库,它实现了加密算法和协议,如 SSL、TLS 和 DTLS。在这个版本中,GnuTLS 通过 p11-kit 软件包使用 Red Hat Enterprise Linux 的中央证书存储。证书颁发机构(CA)更新以及证书黑色列表现在在运行时对应用程序可见。(BZ#1110750)
firewall-cmd 命令现在可以提供额外的详情
在这个版本中,firewalld 显示服务、区和
ICMP 类型的详情。另外,用户可以列出源 XML 文件的完整路径。firewall-cmd 的新选项有:
- [--permanent] --info-zone=zone
- [--permanent] --info-service=service
- [--permanent] --info-icmptype=icmptype (BZ#1147500)
pam_faillock 现在可以使用 unlock_time=never配置
libica rebase 到版本 2.6.2
libica 软件包已更新至上游版本 2.6.2,它提供很多程序错误修复和增强。值得注意的是,这个更新添加了对生成伪随机数字的支持,包括根据更新的安全规格 NIST SP 800-90A 对 Deterministic Random Bit Generator (DRBG)的支持。(BZ#1274390)
新的 lastlog 选项
lastlog 工具现在有新的 --clear 和 --set 选项,它允许系统管理员将用户的 lastlog 条目重置为 永不登录的 值或当前时间。这意味着,您可以重新启用之前因为不活跃而锁定的用户帐户。(BZ#1114081)
libreswan rebase 到版本 3.15
Libreswan 是 Linux 的互联网协议安全(IPsec)和互联网密钥交换(IKE)的实现。libreswan 软件包已升级到上游版本 3.15,它提供很多改进和程序错误修复。主要变化包括:
- 在使用 SHA2 算法时,会增加非ce 大小以满足 RFC 要求。
- 现在,当连接错误时,
Libreswan会调用NetworkManager帮助程序。 - 证书中的所有
CRL 发布点现已处理。 Libreswan不再尝试删除不存在的 IPsec 安全关联(SA)。plutoIKE 守护进程现在具有CAP_DAC_READ_SEARCH功能。- 当使用 on-demand 隧道时,
pluto不再崩溃。 pam_acct_mgmt现在被正确设置。- 修复了回归,带有 keyingtries=0 的隧道会尝试无限期建立隧道。
- 在重新建立配置为保持的已删除隧道前的延迟现在小于一秒。(BZ#1389316)
nettle 中的 SHA-3 实现现在符合 FIPS 202
nettle 是一个加密库,设计为在几乎所有上下文中轻松容纳。在这个版本中,安全哈希算法 3 (SHA-3)实现已更新,以符合最终联邦信息处理标准(FIPS) 202 草案。(BZ#1252936)
scap-security-guide rebase 到版本 0.1.30
scap-security-guide 项目提供了从最终系统安全点配置系统的指南。软件包已升级至 0.1.30 版本。主要改进包括:
- Red Hat Enterprise Linux 7 包括并更新国家安全系统(CNSS)指令 No. 1253 配置文件。
- The U.S.现在,提供了由互联网安全中心(CIS)基准提升的政府 Commercial Cloud Services (C2S)配置文件。
- 现在,
补救脚本直接包含在基准测试中,不再需要外部 shell 库。 - Red Hat Enterprise Linux 7 的国防信息系统局(DISA)安全技术实施指南(STIG)配置文件已更新为 Red Hat Enterprise Linux 6 的 DISA STIG 配置文件。
- Red Hat Enterprise Linux 7 现在提供了 Criminal Justice Information Services (CJIS)安全策略配置集的草案。(BZ#1390661)
