7.5. 安全性

改进了pkcs11 的padding

在以前的版本中，pkcs11 令牌标签会对一些智能卡有额外的 padding。因此，错误的 padding 可能会导致基于 label 属性的匹配卡的问题。在这个版本中，所有卡的 padding 已被修复，并定义了 PKCS #11 URI，并在应用程序中匹配它们应如预期工作。

修复了 sealert 连接问题处理

在以前的版本中，setroubleshoot 守护进程的崩溃可能会导致 sealert 进程停止响应。因此，GUI 没有显示任何分析，也变得无响应，命令行工具不会打印任何输出结果，并在被终止前保持运行。这个版本改进了 sealert 和 setroubleshootd 之间的连接问题的处理。现在 sealert 报告错误消息，并在 setroubleshoot 守护进程崩溃时退出。

通过 setroubleshoot优化审计记录分析

在以前的版本中，setroubleshoot-3.3.23-1 中引入的新功能对性能有负面影响，这导致 AVC 分析比以前要最多慢 8 倍。这个版本提供了优化功能，可显著缩短 AVC 分析时间。

修复了 SELinux 策略接口解析程序

在以前的版本中，在安装一个在其接口文件中包含 ifndef 块的自定义策略时，策略接口解析器会导致出现语法错误消息。这个版本改进了接口文件解析，从而解决了这个问题。

setfiles 不会在标记错误时停止

在以前的版本中，当重新标记文件失败时，setfiles 工具会停止。因此，错误标记的文件保留在目标目录中。在这个版本中，setfiles 会跳过它无法重新标记的文件，因此 setfile 会处理目标目录中的所有文件。

现在，重建 SELinux 策略存储可以更好地解决电源失败

在以前的版本中，SELinux 策略重建会因为写缓存造成在电源出现问题时导致问题。因此，在策略重建过程中，SELinux 策略存储可能会在电源失败后崩溃。在这个版本中，libsemanage 库将所有待处理的修改写入元数据，并在使用前将缓存的文件数据写入包含策略存储的文件系统中。因此，策略存储现在可以在电源失败和其他中断的情况下，更好地修复。

libselinux 现在可以正确地决定 SELinux 用户的默认上下文

在以前的版本中，由于使用了已弃用的 security_compute_user() 函数，libselinux 库无法决定某些系统中 SELinux 用户的默认上下文。因此，在具有复杂的安全策略的系统中有些系统服务不可用。在这个版本中，libselinux 不再使用 security_compute_user()，无论策略复杂性如何，都无法正确决定 SELinux 用户的默认上下文。

rsync 模式中的 GEO-replication 不会再因为SELinux而 失败

在以前的版本中，SELinux 策略不允许运行在 rsync_t 下的进程设置 security.trusted 扩展属性的值。因此，Red Hat Gluster Storage（RHGS）中的 geo-replication 复制会失败。在这个版本中，新的SELinuxrsync_sys_admin布尔值允许rsync_t进程设置security.trusted。因此，如果启用了 rsync_sys_admin 布尔值，rsync 可以设置 security.trusted 扩展属性，geo-replication不会再失败。

OpenSCAP 现在可以在没有内存不足的情况下扫描含有大量文件的系统

在以前的版本中，当扫描内存较低和大量文件的系统时，OpenSCAP 扫描程序有时会导致系统内存不足。在这个版本中，OpenSCAP 扫描程序内存管理有所改进。因此，扫描程序在扫描大量文件时，在 RAM 较低的系统上不再耗尽内存，例如，软件包组 Server with GUI 和 Workstation。

在引导时，使用 FAT 修复的系统不再失败

在以前的版本中，SCAP 安全指南（SSG）中的互联网安全中心（CIS）配置集包含一个规则，它禁用了负责访问 FAT 文件系统的内核模块的加载。因此，如果 SSG 修复了这个规则，系统将无法访问使用 FAT12、FAT16 和 FAT32 文件系统格式的分区，包括 EFI 系统分区（ESP）。这会导致系统无法引导。在这个版本中，该规则已从配置集中删除。因此，使用这些文件系统的系统不再无法引导。

OVAL 检查会将 GPFS 视为远程

在以前的版本中，OpenSCAP 扫描程序没有将挂载的 General Parallel File Systems（GPFS）识别为远程文件系统（FS）。因此，OpenSCAP 会在只应用于本地系统的 OVAL 检查中扫描 GPFS。这有时会导致扫描程序耗尽资源，且无法完成扫描。在这个版本中，GPFS 包含在远程 FS 列表中。因此，OVAL 检查可以正确地将 GPFS 视为远程 FS，扫描速度更快。

fapolicyd-selinux SELinux 策略现在涵盖了所有文件类型

在以前的版本中，fapolicyd-selinux SELinux 策略没有涵盖所有文件类型。因此，fapolicyd 服务无法访问位于非监控位置的文件，如 sysfs。在这个版本中，fapolicyd 服务涵盖并分析所有文件系统类型。

fapolicyd 不再阻止 RHEL 更新

当更新替换了正在运行的应用程序的二进制文件时，内核会通过附加 （删除） 后缀来修改内存中的应用程序二进制路径。在以前的版本中，fapolicyd 文件访问策略守护进程将此类应用程序视为不被信任。因此，fapolicyd 会阻止这些应用程序打开和执行任何其他文件。在这个版本中，fapolicyd 会忽略二进制路径中的后缀，以便二进制文件可以与信任的数据库匹配。因此，fapolicyd 会正确强制执行规则，更新过程也可以完成。

usbguard rebase 到 1.0.0-1

usbguard 软件包已更新到上游版本 1.0.0-1。这个版本提供改进和程序错误修复，重要的是：

usbguard 现在可以发送审计信息

作为服务强化的一部分，usbguard.service 的功能是有限的，同时缺少 CAP_AUDIT_WRITE这个 功能。因此，作为系统服务运行的 usbguard 无法发送审计事件。在这个版本中，服务配置已被更新，因此 USBGuard 可以发送审计信息。

Tangd 现在可以正确地处理无效请求

在以前的版本中，tangd 守护进程会对一些无效请求返回一个错误退出代码。因此, tangd.socket@.service 会失败，如果此类失败单元的数量增加，可能会造成问题。在这个版本中，tangd仅在tangd服务器本身遇到问题时，才会退出并产生错误代码。因此，tangd 可以正确处理无效的请求。