第 32 章 安全性
依赖于用户非搜索路径的 chroot 的配置现在可以正常工作
在 Red Hat Enterprise Linux 7.3 中,
OpenSSH 工具中的 chroot 进程已被修改来帮助强化 SELinux 系统策略,并且 root UID 在执行 chroot 前已丢弃。因此,依赖于在用户非搜索路径中的 chroot 的现有配置已停止工作。在这个版本中,openssh 软件包的更新已恢复。另外,如果管理员启用了 selinuxuser_use_ssh_chroot 布尔值,则在 SELinux 系统策略中解决了这个问题。firewalld 现在支持所有 ICMP 类型
在以前的版本中,Internet Control Message Protocol(ICMP)类型列表没有完成。因此,一些 ICMP 类型(如
packet-too-big )无法被阻断或允许。在这个版本中,添加了对其他 ICMP 类型的支持,而 firewalld 服务守护进程现在允许处理所有 ICMP 类型。(BZ#1401978)
Docker.pp 替换成 中的 container.pp selinux-policy
在以前的版本中,container-selinux 软件包中的
container.te 文件包含 Docker 接口,后者指向对应的容器接口,以及 docker.if 文件。因此,在编译 container.te 文件时,编译器会警告有关重复的接口。在这个版本中,selinux-policy 软件包中的 docker.pp 文件已被 container.pp 文件替代,警告不再会在上述场景中发生。(BZ#1386916)
最近添加的内核类和权限(在内定义) selinux-policy
在以前的版本中,内核中添加了几个新的类和权限。因此,系统策略中没有定义的这些类和权限会导致 SELinux 拒绝或警告。在这个版本中,所有最近添加的内核类和权限都在 selinux-policy 软件包中定义,不再会出现拒绝和警告。(BZ#1368057)
nss 现在可以正确地处理 PKCS#12 文件
在以前的版本中,当使用 pk12util 工具列出使用 PKCS#5 v2.0 格式的强大密码的 PKCS#12 文件中的证书时,没有输出。另外,当使用 pk12util 列出带有 SHA-2 Message Authentication Code(MAC)的 PKCS#12 文件中的证书时,会报告 MAC 错误,但不会输出任何证书。在这个版本中,导入和导出 PKCS#12 文件已更改为与
OpenSSL 处理兼容,在上述场景中可以正确处理 PKCS#12 文件。(BZ#1220573)
OpenSCAP 现在只生成有用的消息和警告
在以前的版本中,默认的扫描输出设置已被更改,调试信息也会输出到标准输出中。因此,
OpenSCAP 输出缺少错误和警告。输出很难读取,SCAP Workbench 无法处理这些消息。在这个版本中,默认输出设置的更改已被恢复,OpenSCAP 现在会生成有用的输出。(BZ#1447341)
AIDE 现在以 syslog 格式记录
在这个版本中,
AIDE 通过 syslog_format 选项以 rsyslog- 兼容格式的日志来检测系统。在远程 rsyslog 服务器上解析时,多行日志会导致问题。使用新的 syslog_format 选项,AIDE 现在可以以一行的形式记录每个更改。(BZ#1377215)
使用 OpenSCAP security-hardening 配置集安装现在
在以前的版本中,scap-security-guide 软件包中的拼写错误会导致
Anaconda 安装程序退出并重启机器。因此,在 Red Hat Enterprise Linux 7.4 安装过程中,无法选择任何安全强化的配置集,如 Criminal Justice Information Services(CJIS)。解决了拼写错误,现在使用 OpenSCAP security-hardening 配置集进行安装。(BZ#1450731)
OpenSCAP 和 SSG 现在可以正确地扫描 RHV-H 系统
在以前的版本中,使用 OpenSCAP 和 SCAP 安全指南(SSG)工具来扫描充当 Red Hat Virtualization Host(RHV-H)的 Red Hat Enterprise Linux 系统返回的
Not Applicable 结果。在这个版本中,OpenSCAP 和 SSG 将 RHV-H 正确识别为 Red Hat Enterprise Linux,它允许 OpenSCAP 和 SSG 正确扫描 RHV-H 系统。(BZ#1420038)
OpenSCAP 现在在 CVE OVAL 源中正确处理未压缩 XML 文件
在以前的版本中,
OpenSCAP 工具只能处理源中压缩的 CVE OVAL 文件。因此,红帽提供的 CVE OVAL 源不能用作漏洞扫描的基础。在这个版本中,OpenSCAP 不仅支持 ZIP 和 BZIP2 文件,也支持在 CVE OVAL 源中解压缩 XML 文件,而基于 CVE OVAL 的扫描可以正常进行,无需额外步骤。(BZ#1440192)
