第 15 章 安全性


新软件包: tangclevisjose luksmeta

网络绑定磁盘加密(NBDE)允许用户在物理和虚拟机上加密硬盘驱动器的根卷,而无需在系统重启时手动输入密码。
  • Tang 是一个将数据绑定到网络存在的服务器。它包含一个守护进程,它为绑定到远程服务提供加密操作。tang 软件包提供 NBDE 项目的服务器端。
  • Clevis 是自动化解密的可插入框架。它可用于提供数据自动解密,甚至可自动解锁 LUKS 卷。clevis 软件包提供 NBDE 项目的客户端一侧。
  • José 是 Javascript 对象签名和加密标准的 C 语言实施。jose 软件包是 clevistang 软件包的依赖项。
  • LUKSMeta 是一个简单的库,可在 LUKSv1 标头中存储元数据。luksmeta 软件包是 clevistang 软件包的依赖项。
请注意,tang-nagiosclevis-udisk2 子软件包仅作为技术预览提供。(BZ#1300697, BZ#1300696, BZ#1399228, BZ#1399229)

新软件包: usbguard

USBGuard 软件框架通过基于设备属性实施基本的白名单和黑名单功能来提供系统保护,从而免受入侵 USB 设备的保护。要强制执行用户定义的策略,USBGuard 使用 Linux 内核 USB 设备授权功能。USBGuard 框架提供以下组件:
  • 守护进程组件具有用于动态交互和策略强制执行的进程间通信(IPC)接口
  • 与正在运行的 USBGuard 实例交互的命令行界面
  • 编写 USB 设备授权策略的规则语言
  • 用于与共享库中实施的守护进程组件交互的 C++ API(BZ#1395615)

openssh rebase 到版本 7.4

openssh 软件包已更新至上游版本 7.4,它提供了大量的改进、新功能和程序错误修复,其中包括:
  • 添加了对 SFTP 中中断上传的重新消耗支持。
  • 添加了身份验证失败消息的扩展日志格式。
  • 添加了使用 SHA-256 算法的新指纹类型。
  • 添加了对使用带有外部 PIN 条目设备的 PKCS#11 设备的支持。
  • OpenSSH 服务器中删除了对 SSH-1 协议的支持。
  • 删除了对旧 v00 证书格式 的支持。
  • 添加了 ssh 实用程序和 sshd 守护进程的 PubkeyAcceptedKeyTypesHostKeyAlgorithms 配置选项,以允许有选择禁用密钥类型。
  • 添加了 OpenSSH 客户端的 AddKeysToAgent 选项。
  • 添加了 ProxyJump ssh 选项以及相应的 -J 命令行标记。
  • 添加了对 Diffie-Hellman 2K、4K 和 8K 组的关键交换方法的支持。
  • 添加了 ssh_config 文件的 Include 指令。
  • 删除了对 UseLogin 选项的支持。
  • 删除了对服务器中预身份验证压缩的支持。
  • seccomp 过滤器现在用于预身份验证过程。(BZ#1341754)

audit rebase 到版本 2.7.6

audit 软件包已更新至上游版本 2.7.6,它提供了大量的改进、新功能和程序错误修复,其中包括:
  • auditd 服务现在在启动时自动调整日志记录目录权限。这有助于在执行软件包升级后保持目录权限正确。
  • ausearch 程序具有一个新的 --format 输出选项。--format 文本 选项将事件呈现为英语句子,描述正在发生的情况。--format csv 选项将日志记录到一个主题、对象、操作、结果以及一些元数据字段(在 Comma Separated Value(CSV)格式输出)中输出的 metadata 字段。这适用于将事件信息推送到数据库、电子表格或其他分析程序中,以查看、图表或分析审计事件。
  • auditctl 程序现在可以通过 --reset-lost 命令行选项重置内核中丢失的事件计数器。这样可以更轻松地检查丢失的事件,因为您可以每天将值重置为零。
  • ausearchaureport 现在有一个 引导选项,用于在系统启动时查找事件。
  • ausearchaureport 提供一个新的 --escape 命令行选项,以更好地控制对审计字段进行的转义类型。它目前支持 rawttyshellshell_quote 转义。
  • auditctl 不再允许使用条目过滤器的规则。从 Red Hat Enterprise Linux 5 开始不支持这个过滤器。在此发行版本前,在 Red Hat Enterprise Linux 6 和 7 中,auditctl 会将任何进入规则移到 exit 过滤器中,并显示条目过滤器已弃用的警告。(BZ#1381601)

opensc rebase 到版本 0.16.0

OpenSC 库和工具组提供对使用智能卡的支持。OpenSC 侧重于支持加密操作的卡,并启用它们用于身份验证、邮件加密或数字签名。
Red Hat Enterprise Linux 7.4 中的显著改进包括:
  • OpenSC 添加了对通用访问卡(CAC)卡的支持。
  • OpenSC 实施 PKCS#11 API,现在还提供 CoolKey 小程序功能。opensc 软件包替换了 coolkey 软件包。
请注意,Red Hat Enterprise Linux 7 生命周期中会保留 coolkey 软件包,但新的硬件启用将通过 opensc 软件包提供。(BZ#10810 88, BZ#1373164)

openssl rebase 到版本 1.0.2k

openssl 软件包已更新至上游版本 1.0.2k,它提供了大量的改进、新功能和程序错误修复,其中包括:
  • 添加了对 Datagram Transport Layer Security TLS(DTLS)协议版本 1.2 的支持。
  • 添加了对 TLS 中 ECDHE 密钥交换的自动电曲选择的支持。
  • 添加了对 Application-Layer Protocol Negotiation(ALPN)的支持。
  • 添加了对以下方案的 Cryptographic Message syntax(CMS)支持: RSA-PSS、RSA-OAEP、ECDH 和 X9.42 DH。
请注意,这个版本与之前 Red Hat Enterprise Linux 7 版本的 OpenSSL 库版本中的 API 和 ABI 兼容。(BZ#1276310)

openssl-ibmca rebase 到版本 1.3.0

openssl-ibmca 软件包已更新至上游版本 1.3.0,它提供很多程序错误修复和增强。主要变更包括:
  • 添加了对 SHA-512 的支持。
  • ibmca 引擎启动时,会动态加载加密方法。这可让 ibmca 通过 libica 库支持它们。
  • 修复了块大小处理流加密模式的错误。(BZ#1274385)

OpenSCAP 1.2 is NIST-certified

OpenSCAP 1.2 是安全内容自动化协议(SCAP)扫描程序,由国家标准与技术研究院(NIST)认证,是红帽企业 Linux 6 和 7 的政府评估配置和漏洞扫描程序。OpenSCAP 分析并正确评估安全自动化内容,它提供 NIST 在敏感、安全意识环境中运行所需的功能和文档。另外,OpenSCAP 是第一个经过 NIST 认证的配置扫描程序,用于评估 Linux 容器。用例包括评估红帽企业 Linux 7 主机的 PCI 和安全技术实施指南(STIG)合规性,以及使用红帽常见漏洞和暴露(CVE)数据执行已知的漏洞扫描。(BZ#1363826)

libreswan rebase 到版本 3.20

libreswan 软件包已升级到上游版本 3.20,它提供很多程序错误修复和增强。主要改进包括:
  • 添加了对 Opportunistic IPsec(Mesh Encryption)的支持,它启用了使用所有主机上简单配置覆盖大量主机的 IPsec 部署。
  • 进一步加强 FIPS。
  • 添加了对使用虚拟 Tunnel Interface(VTI)的基于路由的 VPN 的支持。
  • 改进了对非 root 配置的支持。
  • 改进了在线证书状态协议(OCSP)和证书 Revocation Lists(CRL)支持。
  • 添加了新的 whack 命令选项:-- fipsstatus、-- fetchcrls、--globalstatus--shuntstatus
  • 添加了对 NAT Opportunistic Encryption(OE)客户端地址转换的支持: leftcat=yes
  • 添加了对流量流冲突机制的支持: tfc=
  • 根据 RFC 4307bis 和 RFC 7321bis 更新的密码首选项。
  • 添加了对扩展序列号(ESN)的支持: esn=yes
  • 添加了对禁用和增加 replay 窗口的支持: replay-window=。(BZ#1399883)

审计现在支持基于会话 ID 进行过滤

在这个版本中,Linux Audit 系统支持用户规则根据 sessionid 值过滤审计消息。(BZ#1382504)

libseccomp 现在支持 IBM Power 架构

在这个版本中,libseccomp 库支持 IBM Power、64 位 IBM Power 和 64 位 little-endian IBM Power 架构,它启用了 GNOME rebase。(BZ#1425007)

AUDIT_KERN_MODULE 现在记录模块加载

AUDIT_KERN_MODULE 辅助记录已添加到 init_module()、finit_module()、f init_module()delete_module() 函数中的 AUDIT_SYSCALL 记录中。此信息存储在 audit_context 结构中。(BZ#1382500)

OpenSSH 现在将 SHA-2 用于公钥签名

在以前的版本中,OpenSSH 使用 SHA-1 哈希算法使用 RSA 和 DSA 密钥进行公钥签名。SHA-1 不再被视为安全,新的 SSH 协议扩展允许使用 SHA-2。在这个版本中,SHA-2 是公钥签名的默认算法。SHA-1 仅适用于向后兼容目的。(BZ#1322911)

firewalld 现在支持额外的 IP 集合

在这个版本中,添加了对 以下 ipset 类型的支持:
  • hash:ip,port
  • hash:ip,port,ip
  • hash:ip,port,net
  • hash:ip,mark
  • hash:net,net
  • hash:net,port
  • hash:net,port,net
  • hash:net,iface
firewalld 中不支持同时提供来源和目的地组合的 ipset 类型。使用这些类型的 IP 设置由 firewalld 创建,但其用途仅限于直接规则:
  • hash:ip,port,ip
  • hash:ip,port,net
  • hash:net,net
  • hash:net,port,net
ipset 软件包已更新至上游版本 6.29,现在还支持以下 ipset 类型:
  • hash:mac
  • hash:net,port,net
  • hash:net,net
  • hash:ip,mark(BZ#1419058)

firewalld 现在支持在富规则中对 ICMP 类型的操作

在这个版本中,firewalld 服务守护进程允许在带有接受、日志和标记操作的富规则中使用互联网控制消息协议(ICMP)类型。(BZ#1409544)

firewalld 现在支持禁用的自动帮助程序分配

这个 firewalld 服务守护进程更新引进了对禁用自动帮助程序分配功能的支持。现在,如果自动帮助程序分配关闭,则可以使用 firewalld 帮助程序,而无需添加额外的规则。(BZ#1006225)

nss nss-util 现在默认使用 SHA-256

在这个版本中,在创建数字签名时,NSS 库的默认配置已被修改为使用更强大的哈希算法。使用 RSA、EC 和 2048 位(或更长) DSA 密钥,现在使用 SHA-256 算法。
请注意: 另外,NSS 工具(如 certutilccutilcmsutil )现在在默认配置中使用 SHA-256。(BZ#1309781)

审计日志过滤器排除规则现在包含其他字段

exclude 过滤器已被改进,现在它只包含 msgtype 字段,以及 piduidgiduidsessionIDSELinux 类型。(BZ#1382508)

PROCTITLE 现在在审计事件中提供完整命令

这个版本引进了在审计事件外的 PROCTITLE 记录。PROCTITLE 提供正在执行的完整命令。PROCTITLE 值经过编码,因此无法绕过审计事件解析器。请注意,PROCTITLE 值仍然不被信任,因为它会因用户空间日期起不被信任。(BZ#1299527)

nss-softokn rebase 到版本 3.28.3

nss-softokn 软件包已升级到上游版本 3.28.3,它提供很多程序错误修复和增强:
  • 添加了对 ChaCha20-Poly1305(RFC 7539)算法(RFC 7905)、互联网密钥交换协议(IKE)和 IPsec(RFC 7634)的支持。
  • 对于密钥交换目的,增加了对 Curve25519/X25519 curve 的支持。
  • 添加了对扩展 Master Secret(RFC 7627)扩展的支持。(BZ#1369055)

libica rebase 到版本 3.0.2

libica 软件包升级至上游版本 3.0.2,它提供了大量的修复。主要附加组件包括
  • 支持联邦信息处理标准(FIPS)模式
  • 支持生成伪随机数字,包括对 determineistic Random Bit Generator 的支持与更新的安全规格 NIST SP 800-90A。(BZ#1391558)

opencryptoki rebase 到版本 3.6.2

opencryptoki 软件包已升级到上游版本 3.6.2,它提供很多程序错误修复和增强:
  • 添加了对 OpenSSL 1.1 的支持
  • 替换了弃用的 OpenSSL 接口。
  • 替换已弃用的 libica 接口。
  • 提高了 IBM Crypto 加速器(ICA)的性能。
  • 添加了对 rc=8、reasoncode=2028 错误消息的支持。(BZ#1391559)

现在,AUDIT_NETFILTER_PKT 事件被规范化

现在,AUDIT_NETFILTER_PKT 审计事件已被简化,信息字段会以一致的方式显示。(BZ#1382494)

P11tool 现在支持通过指定存储的 ID 来写入对象

在这个版本中,p11tool GnuTLS PKCS#11 工具支持 new --id 选项,通过指定存储的 ID 来写入对象。这允许写入的对象可以被超过 p11tool 的应用程序寻址。(BZ#1399232)

新软件包: nss-pem

这个版本引进了 nss-pem 软件包,它以前是 nss 软件包的一部分,作为单独的软件包。nss-pem 软件包为作为 PKCS#11 模块实现的网络安全服务(NSS)提供 PEM 文件读取器。(BZ#1316546)

pmrfc3164 替换 pmrfc3164sd rsyslog

随着 rsyslog 软件包的更新,pmrfc3164sd 模块用于在 BSD syslog 协议格式(RFC 3164)中解析日志,由官方 pmrfc3164 模块替代。官方模块没有完全涵盖 pmrfc3164sd 功能,因此它仍可在 rsyslog 中提供。但是,建议您尽可能使用新的 pmrfc3164 模块。pmrfc3164sd 模块不再被支持。(BZ#1431616)

libreswan 现在支持 right=%opportunisticgroup

在这个版本中,支持 conn 部分的 conn 部分的 %opportunisticgroup 值。这允许带有 X.509 身份验证的 opportunistic IPsec,这可显著减少大型环境中的管理开销。(BZ#1324458)

ca-certificates 现在满足 Mozilla Firefox 52.2 ESR 要求

网络安全服务(NSS)代码和证书颁发机构(CA)列表已更新,以满足最新 Mozilla Firefox Extended Support Release(ESR)发布的建议。更新的 CA 列表改进了与互联网公钥基础架构(PKI)中使用的证书的兼容性。为了避免证书验证的 refusals,红帽建议在 2017 年 6 月 12 日安装更新的 CA 列表。(BZ#1444413)

nss 现在满足 Mozilla Firefox 52.2 ESR 对证书的要求

证书颁发机构(CA)列表已更新,以满足最新 Mozilla Firefox 扩展支持发行本(ESR)发布的建议。更新的 CA 列表改进了与互联网公钥基础架构(PKI)中使用的证书的兼容性。为了避免证书验证的 refusals,红帽建议在 2017 年 6 月 12 日安装更新的 CA 列表。(BZ#1444414)

scap-security-guide rebase 到版本 0.1.33

scap-security-guide 软件包已升级到上游版本 0.1.33,它提供很多程序错误修复和增强。特别是,这个新版本增强了现有的合规性配置集,并扩展了覆盖范围,使其包含两个新的配置基线:
  • PCI-DSS v3 Control Baseline 的扩展支持
  • 美国政府商业云服务(C2S)的扩展支持。
  • 延长对 Red Hat Corporate Profile for Certified Cloud Providers 的支持。
  • 添加了对 Red Hat Enterprise Linux 7 配置集的 Defense Information Systems Agency(DISA)安全技术实施指南(STIG)的支持,这与 Red Hat Enterprise Linux V1R1 配置集的 DISA STIG 一致。
  • 添加了对 Non-federal Information Systems 和机构(NIST 800-171)中未分类的信息的支持,将 Red Hat Enterprise Linux 7 配置为 NIST Special Publication 800-53 控制,用于保护控制未分类的信息(CUI)。
  • 添加了对 United States Government Configuration Baseline(USGCB/STIG)配置集的支持,它们与 U. S 合作开发。美国国家标准与技术研究院(NIST)。国防部、国家安全局和红帽公司部门.
USGCB/STIG 配置集通过以下文档实现配置要求:
  • 国家安全系统说明"N. 1253"(CNSSI 1253)
  • NIST 可控制未分类的信息(NIST 800-171)
  • NIST 800-53 控制中等影响系统的选择(NIST 800-53)
  • U. S.政府配置基线(USGCB)
  • NIAP Protection Profile for General Purpose Operating Systems v4.0(OSPP v4.0)
  • DISA 操作系统安全要求指南(OS SRG)
请注意,一些之前包含的配置集已被删除或合并。(BZ#1410914)
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.