第 47 章 安全性
USBGuard 在屏幕锁定时启用阻塞 USB 设备作为技术预览
使用
USBGuard 框架,您可以通过设置 InsertedDevicePolicy 运行时参数的值来影响已在运行 usbguard-daemon 实例如何处理新插入的 USB 设备。这个功能是作为技术预览提供的,默认选择是应用策略规则来找出是否授权该设备。
在屏幕锁定了知识库文章时,请参阅 Blocking USB 设备 :https://access.redhat.com/articles/3230621 (BZ39) 80100)
pk12util 现在可以导入使用 RSA-PSS签名的证书
pk12util 工具现在提供导入使用 RSA-PSS 算法签名的证书作为技术预览。
请注意,如果导入了对应的私钥,并且具有
PrivateKeyInfo.privateKeyAlgorithm 字段,该字段将签名算法限制为 RSA-PSS,则在将密钥导入到浏览器时会忽略它。如需更多信息,请参阅 https://bugzilla.mozilla.org/show_bug.cgi?id=1413596。(BZ#1431210)
改进了对在 certutil 中使用 RSA-PSS 签名的证书的支持
改进了对在
certutil 工具中使用 RSA-PSS 算法签名的证书的支持。主要改进和修复包括:
- 现在记录 --pss 选项。
- 当证书仅限于使用
RSA-PSS时,PKKKPPP1v1.5算法不再用于自签名签名。 - 在列出证书时,
subjectPublicKeyInfo字段中的空RSA-PSS参数不再打印为无效。 - 添加了用于创建使用
RSA-PSS算法签名的常规 RSA 证书的 --pss-sign 选项。
NSS 现在可以在证书上验证 RSA-PSS 签名
使用 nss 软件包的新版本,
网络安全服务 (NSS)库现在作为技术预览提供在证书中验证 RSA-PSS 签名。在此次更新之前,使用 NSS 作为 SSL 后端的客户端无法建立到仅提供 RSA-PSS 算法签名的证书的 TLS 连接。
请注意,这个功能有以下限制:
/etc/pki/nss-legacy/rhel7.config文件中的算法策略设置不适用于RSA-PSS签名中使用的哈希算法。RSA-PSS参数限制将被忽略,并且只考虑单个证书。(BZ#1432142)
现在,可以在 SECCOMP 中启用 SECCOMP libreswan
作为技术预览,seccomp=enabled|tolerant|disabled 选项已添加到
ipsec.conf 配置文件中,因此可以使用安全计算模式(SECCOMP)。这提高了 syscall 安全性,方法是将 Libreswan 允许执行的所有系统调用列入白名单。如需更多信息,请参阅 ipsec.conf (5) 手册页。(BZ#1375750)
