支持控制台(Console)开发人员开始试用联系人

6.8. 安全性

SELinux 策略重新载入不再会导致假的 ENOMEM

重新载入 SELinux 策略会导致内部安全上下文查找表变得无响应。因此,当内核在策略重新加载过程中遇到新的安全上下文时,操作会失败,并显示 "Out of memory" (ENOMEM)错误。在这个版本中,内部安全标识符(SID)查找表已被重新设计,不再冻结。因此,内核在 SELinux 策略重新加载过程中不再返回误导 ENOMEM 错误。

(BZ#1335986)

NSS 现在正确处理 X.509 证书以用于 IPsec

在以前的版本中,NSS 库无法正确处理 X.509 证书以用于 IPsec。因此,如果 X.509 证书没有包含 serverAuthclientAuth 属性的非空扩展密钥用法(EKU)属性,Libreswan IPsec 实现会错误地拒绝验证证书。在这个版本中,NSS 中的 IPsec 配置集已被修复,Libreswan 现在可以接受上述证书。

(BZ#1212132)

NSS 不再接受使用 RSA-PSS 密钥进行的 RSA PKCS1141 v1.5 签名

RSA-PSS 密钥只能用于创建 RSA-PSS 签名,并使用使用 PKCS1141 v1.5 算法违反标准的密钥进行签名。在以前的版本中,网络安全服务(NSS)库不会检查服务器在使用对应私钥进行的签名时使用的 RSA 公钥类型。因此,NSS 接受 RSA PKCS the v1.5 签名作为有效,即使它们是使用 RSA-PSS 密钥进行的。

这个程序错误已被解决,在验证使用对应私钥进行的签名时,NSS 库可以正确地检查服务器使用的 RSA 公钥类型。因此,NSS 不再接受此场景中的签名。

(BZ#1510156)

在切换用户时,访问授权密钥不再会失败

在以前的版本中,当更改用户使用 AuthorizedKeysCommand 这个配置选项检索授权密钥的用户时,OpenSSH 中的组信息缓存不会被清理。因此,因为组信息不正确,对新用户访问授权密钥会失败。这个程序错误已被解决,在用户更改时,授权的密钥现在可以被成功访问。

(BZ#1583735)

scap-security-guide 现在可以正确地跳过不适用于容器和容器镜像的规则

SCAP 安全指南内容现在可以用于扫描容器和容器镜像。不适用于容器和容器镜像的规则已使用特定的 cp 标识符标记。因此,自动跳过这些规则的评估,在扫描容器和容器镜像时不会报告 相关的 结果。

(BZ#1630739)

SCAP 安全指南中的 Ansible playbook 不再因为常见错误而失败

SCAP 安全指南内容中包含的 Ansible 任务之前无法处理某些常见情况,如缺少配置文件、不存在的文件或卸载的软件包。因此,当使用 SCAP 安全指南中的 Ansible playbook 或 oscap 命令生成的 Ansible playbook 时,ansible-playbook 命令将终止并显示每个错误。在这个版本中,Ansible 任务已被更新来处理常见情况,即使 playbook 执行期间遇到常见错误,SCAP 安全指南中的 Ansible playbook 也可以成功执行。

(BZ#1647189)

SCAP 安全指南 现在可以正确地检查 dconf 配置

在此次更新之前,SCAP 安全指南项目中使用的 OVAL (开源漏洞和评估语言)检查不会直接检查 dconf 二进制数据库,而是只检查对应的密钥文件。这可能会导致假的正状态或负数导致扫描结果。有了这个更新,SCAP 安全指南 添加了一个检查组件,这样可确保 dconf 二进制数据库与这些密钥文件相关。现在,复杂的检查可以正确地检查 dconf 配置。

(BZ#1631378)

SELinux 现在允许 gssd_t 进程访问其他进程的内核密钥环

在以前的版本中,SELinux 策略中缺少 gssd_t 类型的允许规则。因此,enforcing 模式中的 SELinux 有时会阻止以 gssd_t 运行的进程访问其他进程的内核密钥环,并可能会阻止 sec=krb5 挂载。规则已添加到策略中,作为 gssd_t 运行的进程现在可以访问其他进程的密钥环。

(BZ#1487350)

SELinux 不再阻止 snapperd 管理所有非安全目录

在此次更新之前,SELinux 策略中缺少 snapper 守护进程的 allow 规则(snapperd)。因此,snapper 无法在 btrfs 卷上为 SELinux 处于 enforcing 模式的新快照创建配置文件。在这个版本中,添加了缺少的规则,SELinux 现在允许 snapperd 管理所有非安全目录。

(BZ#1619306)

sudo I/O 日志记录功能现在也适用于 SELinux 限制的用户

在更新 SELinux 策略前,允许用户域使用通用伪终端接口的规则缺失。因此,sudo 工具的 I/O 日志记录功能不适用于 SELinux 限制的用户。缺少的规则已添加到策略中,在上述场景中 I/O 日志记录功能不再失败。

(BZ#1564470)

使用 LDAP 配置的 sudo 现在可以正确地处理 sudoRunAsGroup

在以前的版本中,当定义了 sudo RunAsGroup 属性且 sudoRunAsUser 属性没有时,使用 LDAP 配置的 sudoRunAsUser 属性无法正确处理问题单。因此,root 用户被用作目标用户。有了这个更新,sudoRunAsGroup 处理已被修复,以匹配 sudoers.ldap (5) 手册页中记录的行为,sudo 现在可以在上述场景中正常工作。

(BZ#1618702)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.