第 16 章 安全性
Clevis 现在支持 TPM 2.0
在这个版本中,基于策略的解密(PBD)的
Clevis 可插拔框架也支持使用受信任的平台模块 2.0 (TPM 2.0)芯片加密的客户端。如需更多信息,以及可能的配置属性列表,请参阅 clevis-encrypt-tpm2 (1) 手册页。
请注意,这个功能仅适用于具有 64 位 Intel 或 64 位 AMD 架构的系统。(BZ#1472435)
gnutls rebase 到 3.3.29
GNU Transport Layer Security (GnuTLS)库已升级到上游版本 3.3.29,它比之前的版本提供了很多程序错误修复和增强。主要变更包括:
- 改进了硬件安全模块(HSM)的 PKCS Liberty 加密令牌接口:在某些 IaaS HSM 中在
p11tool和固定密钥导入中添加 DSA 支持。 - 改进了 TLS Cipher Block Chaining (CBC)记录 padding 的计数器主题。以前的计数器存在某些问题,当攻击者访问 CPU 缓存并执行所选信息攻击(CPA)时,这个问题不足。
- 默认禁用旧的
HMAC-SHA384密码套件。(BZ#1561481)
现在,IBM z14 上带有 OpenSSL 的 AES-GCM 操作速度更快
这个版本引进了对 IBM z14 系统上提供新的 Cryptographic 功能(CPACF)指令的额外的加密操作的支持。因此,在 IBM z14 及更新的版本中,带有
OpenSSL 库的 AES-GCM 操作现在可以更快地执行。(BZ#1519396)
sudo rebase 到版本 1.8.23
sudo 软件包已升级到上游版本 1.8.23,它提供很多程序错误修复和增强:
- 新的
cvtsudoers工具替换 sudoers2ldif 脚本和 visudo -x 功能。它可以读取 sudoers 或 LDIF 格式的文件,并生成 JSON、LDIF 或 sudoers 输出。也可以按用户、组或主机名过滤生成的输出文件。 - always_query_group_plugin 选项现在在默认的
/etc/sudoers文件中明确设置。从之前的版本升级并希望保留旧的组查询行为的用户应该确保在升级后设定此设置。 - 现在,即使不需要密码,PAM 帐户管理模块也会运行。
- 新的 case_insensitive_user 和 case_insensitive_group sudoers 选项允许控制 sudo 是否对
sudoers中的用户和组进行区分大小写匹配。现在,不区分大小写的匹配是默认设置。 - 现在,会在命令行中将
runas用户指定为空字符串的错误。在以前的版本中,空runas用户与未指定的runas用户相同。 - 现在,I/O 日志文件默认使用组
ID 0创建,除非在sudoers中设置 iolog_user 或 iolog_group 选项。 - 现在,可以通过从 env_delete list 列表中删除,在禁用 env_reset
sudoers设置的环境中保留 bash shell 功能。(BZ#1547974)
usbguard rebase 到版本 0.7.4
usbguard 软件包已更新至上游版本 0.7.4。与之前的版本相比,这个版本提供了很多程序错误修复和增强,最重要的是:
- 现在,如果
usbguard-daemon无法打开日志文件或审计事件文件,则 usbguard-daemon 现在会出错。 - 现在,存在的设备枚举算法更为可靠。枚举超时不再会导致
usbguard-daemon进程退出。
audit rebase 到 2.8.4
audit 软件包已升级到上游版本 2.8.4,它提供很多程序错误修复和增强。主要变更包括:
- 添加了对转储内部状态的支持。现在,您可以运行 service auditd state 命令来查看有关
审计守护进程的信息。 - 添加了对
rpm和yum工具生成的SOFTWARE_UPDATE事件的支持。 - 在远程日志记录启动期间允许无限重试。即使客户端引导时没有运行聚合服务器,这有助于启动。
- 改进了 IPv6 远程日志记录。(BZ#1559032)
RPM 现在提供审计事件
在这个版本中,
RPM Package Manager (RPM)提供审计事件。对于使用 Linux 审计系统 进行系统分析,软件包已安装和更新的信息非常重要。现在,当软件包由 root 用户安装或升级时,RPM 都会创建一个 SOFTWARE_UPDATE 审计事件。(BZ#1555326)
SELinux 现在支持 extended_socket_class
在这个版本中引进了
extended_socket_class 策略功能,它允许很多新的 SELinux 对象类支持所有已知的网络套接字地址系列。它还启用了将单独的安全类用于互联网控制消息协议(ICMP)和流控制传输协议(SCTP)套接字,这些套接字之前映射到 rawip_socket 类。(BZ#1564775, BZ#1427553)
selinux-policy 现在,在使用 mmap () 时检查文件权限
此发行版本在
mmap () 系统调用上引入了一个新的权限检查。mmap () 上的单独映射权限检查的目的是允许策略禁止特定文件的内存映射,以确保每个访问都已重新验证。这对于您希望在运行时重新标记文件以反映状态更改的情况很有用,例如在跨域解决方案或保证的管道中没有数据复制。
此功能默认是启用的。另外,添加了新的 SELinux 布尔值
domain_can_mmap_files。如果启用了 domain_can_mmap_files,每个域都可以在每个文件中都使用 mmap ()、字符设备或块设备。如果禁用了 domain_can_mmap_files,则使用 mmap () 的域列表会被限制。(BZ#1460322)
RHEL7 DISA STIG 配置文件现在与 STIG Version 1 (版本 4)匹配
借助
SCAP 安全指南 项目的此次更新,RHEL7 国防信息系统局(DISA)安全技术实施指南(STIG)配置文件与 STIG 版本 1 (版本 4)一致。请注意,某些规则不包含自动检查或修复。(BZ#1443551)
libreswan 现在支持 PKCSö7- 格式的 X.509 证书
在这个版本中,
Libreswan Virtual Private Network 应用程序还支持 PKCS the7- 格式的 X.509 证书。这启用了与运行 Microsoft Windows 的系统互操作性。(BZ#1536404)
libreswan rebase 到版本 3.25
libreswan 软件包已升级到上游版本 3.25,它提供很多程序错误修复和增强。
请注意,带有 pfs=no 选项的bidding Perfect Forward Secrecy 的不正确的配置 会加载并忽略
modp 设置。在这个版本中,这些连接无法使用 ESP DH 算法 MODP2048 加载,因为 PFS 策略被禁用 错误消息。(BZ#1591817)
openssl-ibmca rebase 到版本 2.0.0
openssl-ibmca 软件包已升级到上游版本 2.0.0,它提供很多程序错误修复和增强:
- 现在支持 Elliptic-Curve Cryptography (ECC)功能。
- 与各种
OpenSSL版本的兼容性有所提高。
请注意,要将 ECC 功能与 z/VM 6.4 系统中共享的 CEX4C 适配器一起使用,需要 Authorized Program Analysis Report (APAR) VM65942。(BZ#1519395)
sudo 现在运行 PAM 堆栈,即使没有身份验证
在这个版本中,
sudo 工具也会运行可插拔验证模块(PAM)帐户管理模块,即使策略中配置了 NO the 选项。这可启用检查 PAM 模块在身份验证阶段以外的限制。因此,PAM 模块(如 pam_time )现在可以在上述场景中正常工作。(BZ#1533964)
cvtsudoers 在不同的 sudoers 格式之间进行转换
SCAP 安全指南现在支持 OSPP v4.2
这个 scap-security-guide 软件包更新引入了一个新的配置集,用于定义 OSPP (General-Purpose Operating System Protection Profile) v4.2 的核心要求。新配置文件 ID 是
ospp42,之前发布的配置集 USGCB (单元的政府配置基本线)OSP v4.0 可用于 ID ospp。(BZ#1619689)
selinux-policy 现在包含五个额外的 SELinux 布尔值
这个 selinux-policy 软件包更新引进了以下 SELinux 布尔值:
keepalived_connect_any- 允许keepalived服务连接到任意端口。tomcat_use_execmem- 允许Tomcat服务器使其堆栈可执行。tomcat_can_network_connect_db- 允许Tomcat连接到PosgtreSQL端口。redis_enable_notify- 允许redis-sentinel服务运行通知脚本。
