7.10. 安全性
现在可在 libreswan中启用 SECCOMP
作为技术预览,seccomp=enabled|tolerant|disabled 选项已添加到 ipsec.conf 配置文件中,可以使用安全计算模式(SECCOMP)。这提高了 syscall 安全性。它将 Libreswan 允许执行的所有系统调用都放入到白名单。如需更多信息,请参阅 ipsec.conf(5) man page。
pk12util 现在可以使用 RSA-PSS 密钥导入证书
The pk12util 工具现在提供导入使用 RSA-PSS 算法签名的证书作为技术预览。
请注意,如果导入了对应的私钥,并且具有将签名算法限制为 RSA-PSS 的 PrivateKeyInfo.privateKeyAlgorithm 字段,则导入密钥时会忽略签名算法。如需更多信息,请参阅 MZBZ#1413596。
改进了对在 certutil 中使用 RSA-PSS 签名的证书的支持
改进了 certutil 工具中使用 RSA-PSS 算法签名的证书的支持。主要改进和修复包括:
-
现在记录了
--pss选项。 -
当证书仅限于使用
RSA-PSS时,PKCS#1 v1.5算法不再用于自签名证书。 -
在列出证书时,
subjectPublicKeyInfo字段中的空RSA-PSS参数将不再打印为无效。 -
添加了使用
RSA-PSS算法创建常规签名的 RSA 证书的--pss-sign选项。
支持在 certutil 中使用 RSA-PSS 签名的证书作为技术预览。
NSS 现在可以在证书中验证 RSA-PSS 签名
从之后的 RHEL 7.5 版本 开始,网络安全 服务 (NSS)库为证书提供验证 RSA-PSS 签名作为技术预览。在以前的版本中,使用 NSS 作为 SSL 后端的客户端无法建立到仅提供通过 RSA-PSS 算法签名的证书的服务器的 TLS 连接。
请注意,这个功能有以下限制:
-
/etc/pki/nss-legacy/rhel7.config文件中的算法策略设置不适用于RSA-PSS签名中使用的哈希算法。 -
忽略证书链之间的
RSA-PSS参数限制,仅考虑单个证书。
USBGuard 启用在屏幕被锁定为技术预览时阻止 USB 设备
使用 USBGuard 框架,您可以通过设置 InsertedDevicePolicy 运行时参数的值来影响已在运行的 usbguard-daemon 实例如何处理新插入的 USB 设备。这个功能是作为技术预览提供的,默认选择是应用策略规则来找出是否授权该设备。
(BZ#1480100)
