8.7. 安全性


在所有配置中,Libreswan 无法正常工作 seccomp=enabled

Libreswan SECCOMP 支持实现中允许的一组系统调用当前还不完整。因此,当在 ipsec.conf 文件中启用了 SECCOMP 时,syscall 过滤会拒绝 pluto 守护进程正常工作所需的 syscalls;守护进程被终止,ipsec 服务也会重启。

要临时解决这个问题,将 seccomp= 选项设置为 disabled 状态。SECCOMP 支持必须保持禁用才能正确运行 ipsec

(BZ#1544463)

对 RSA-PSS 不支持 RSA-PSS 的设备不能与 TLS 1.3 一起使用

TLS 协议版本 1.3 需要 RSA-PSS 签名,不受所有 PKCS the 设备的支持,如硬件安全模块(HSM)或智能卡。目前,在处理 TLS 1.3 前,使用 NSS 的服务器应用程序不会检查 PKCS the 模块功能。因此,尝试使用不支持 RSA-PSS 的 PKCS the 设备进行身份验证。要临时解决这个问题,请使用 TLS 1.2。

(BZ#1711438)

TLS 1.3 在 FIPS 模式下无法在 NSS 中工作

在以 FIPS 模式工作的系统中不支持 TLS 1.3。因此,在以 FIPS 模式工作的系统中,需要 TLS 1.3 进行互操作性的连接无法正常工作。

要启用连接,请禁用系统的 FIPS 模式,或者在 peer 中启用对 TLS 1.2 的支持。

(BZ#1710372)

OpenSCAP 意外访问远程文件系统

OpenSCAP 扫描程序无法正确检测扫描的文件系统是挂载的远程文件系统还是本地文件系统,检测部分也会包含其他 bug。因此,扫描程序会读取挂载的远程文件系统,即使评估的规则只适用于本地文件系统,且可能会在远程文件系统中生成不需要的流量。

要临时解决这个问题,请在扫描前卸载远程文件系统。另一种选择是通过提供定制文件从评估的配置集中排除受影响的规则。

(BZ#1694962)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.