4.6. 安全性
libreswan rebase 到 4.3
libreswan 软件包已升级到版本 4.3。与以前版本相比的显著变化包括:
- IKE 和 ESP over TCP 支持(RFC 8229)
- IKEv2 标签 IPsec 支持
- IKEv2 leftikeport/rightikeport 支持
- 对 Intermediate Exchange 的实验性支持
- 对负载均衡的延长 Redirect 支持
- 默认 IKE 生命周期从 1 h 改为 8 h,以提高互操作性
-
ipsec.secrets文件中的:RSA部分不再需要 - 修复了 Windows 10 rekeying 的问题
- 修复了为 ECDSA 验证发送证书的问题
- MOBIKE 和 NAT-T 修复
IPsec VPN 现在支持 TCP 传输
这个 libreswan 软件包更新添加了对基于 IPsec 的 VPN 的支持,如 RFC 8229 所述。该添加有助于在防止使用封装安全 Payload(ESP)和 UDP 流量的网络中建立 IPsec VPN。因此,管理员可将 VPN 服务器和客户端配置为使用 TCP 作为回退(fallback)或主 VPN 传输协议。
(BZ#1372050)
libreswan 现在支持 Labeled IPsec 的 IKEv2
Libreswan Internet Key Community(IKE)实现了现在包含对 IPsec 安全标签(IKEv2)的互联网密钥交换版本 2(IKEv2)的支持。在这个版本中,在 IKEv1 中使用安全标签的系统可以升级到 IKEv2。
(BZ#1025061)
libpwquality rebase 到 1.4.4
libpwquality 软件包更新到 1.4.4 版本。此发行版本包括多个程序错误修正和翻译更新。最值得注意的是,以下设置选项已添加到 pwquality.conf 文件中:
-
retry -
enforce_for_root -
local_users_only
p11-kit rebase 到 0.23.19
p11-kit 软件包已从 0.23.14 升级到 0.23.19 版本。新版本修复了几个程序错误,并提供了各种改进,特别是:
- 修复了 CVE-2020-29361、CVE-2020-29362、CVE-2020-29363 安全问题。
-
p11-kit现在支持通过 meson 构建系统进行构建。
(BZ#1887853)
pyOpenSSL rebase 到 190.0
pyOpenSSL 软件包已更新到上游版本190.0。此版本提供程序错误修正和增强,最重要的是:
-
改进了 TLS 1.3 支持并带有
openssl版本 1.1.1。 -
当尝试使用
X509Store.add_cert添加重复证书时,不再抛出错误 - 改进了对组件中包含 NUL 字节的 X509 证书的处理
(BZ#1629914)
SCAP 安全指南 rebase 到 0.1.54
scap-security-guide 软件包已更新到上游版本 0.1.54,它提供了几个程序错误修复和改进。最值得注意的是:
- 已根据 Red Hat Enterprise Linux 8.4 的一般目的操作系统保护系统的保护配置 集(OSPP)进行更新。
- 引进了基于来自 French National Security Agency(ANSSI)的 ANSSI BP-028 recommendations 的 ANSSI 系列的配置集。内容包含最小、中等和增强强化级别的配置集实施规则。
- Security Technical Implementation Guide(STIG)安全配置集已被更新,它实现了来自当前发布的 V1R1 版本的规则。
openscap rebase 到 1.3.4
OpenSCAP 软件包已更新到上游版本 1.3.4。重要的修复和增强包括:
- 修复了导致有大量文件的系统造成内存不足的某些内存问题。
- OpenSCAP 现在将 GPFS 视为远程文件系统。
- 正确处理在定义间带有依赖项的 OVAL。
-
改进了
yamlfilecontent:更新了yaml-filter,扩展 schema 和 probe 以便在映射中使用一组值。 - 修复了大量警告(GCC 和 Clang)。
- 修复了多个内存管理。
- 修复了多个内存泄漏。
- XCCDF 文件中的平台元素现已根据 XCCDF 规格正确解决。
- 改进了与 uClibc 的兼容性。
- 改进了本地和远程文件系统检测方法。
-
修复了
dpkginfo探测以使用pkgCacheFile,而不是手动打开缓存。 - OpenSCAP 扫描报告现在是一个有效的 HTML5 文档。
- 修复了在文件探测中不需要的递归的问题。
RHEL 8 STIG 安全配置集更新至版本 V1R1
随着 RHBA-2021:1886 公告提供,SCAP 安全指南中的 Red Hat Enterprise Linux 8 配置集的 DISA STIG 已更新,与最新版本的 V1R1 保持一致。现在,这个配置集也更加稳定,并与 Defense 信息系统(DISA)提供的 RHEL 8 STIG(安全技术实施指南)手动基准兼容。第一次迭代会对 STIG 大约提供了 60% 的覆盖范围。
因为配置集已不再有效,您应该只使用此配置集的当前版本。
自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。
新的 DISA STIG 配置集与 Server with GUI 安装兼容
一个新配置文件 DISA STIG with GUI 已添加到带有 RHBA-2021:4098 公告的 SCAP 安全指南 中。这个配置集源自 DISA STIG 配置集,并与选择 Server with GUI 软件包组的 RHEL 安装兼容。以前存在的 stig 配置集与 Server with GUI 不兼容,因为 DISA STIG 需要卸载任何图形用户界面。但是,如果在评估期间由安全官正确记录,则可能会覆盖此错误。因此,新配置集有助于将 RHEL 系统安装为与 DISA STIG 配置集一致的 GUI 服务器。
SCAP 安全指南中提供了 ANSSI-BP-028 Minimal、Intermediary 和 Enhanced 等级的配置集
使用新的配置集,您可以把系统强化到来自 French National Security Agency (ANSSI) for GNU/Linux Systems 的最小、中等和增强强化级别。因此,您可以使用 ANSSI Ansible Playbook 和 ANSSI SCAP 配置集,根据所需的 ANSSI 强化级别配置和自动化 RHEL 8 系统合规性。
scap-workbench 现在可以使用 sudo 权限扫描远程系统
scap-workbench GUI 工具现在支持使用免密码 sudo 访问扫描远程系统。此功能降低了需要提供 root 凭证而带来的安全风险。
在使用免密码 sudo 以及 remediate 选项的 scap-workbench 时需要非常小心。红帽建议仅为 OpenSCAP 扫描程序指定一个安全的用户帐户。
rhel8-tang 容器镜像现已正式发布
在这个版本中,rhel8/rhel8-tang 容器镜像位于 registry.redhat.io 目录中。容器镜像为在 OpenShift Container Platform(OCP)集群中或独立虚拟机运行的 Clevis 客户端提供 Tang-server 解密功能。
(BZ#1913310)
clevis rebase 到版本 15
clevis 软件包已更新至上游版本 15。与之前的版本相比,这个版本提供很多程序错误修复和增强,其中较最重要的是:
-
Clevis 现在生成通用 initramfs,且不再自动将
rd.neednet=1参数添加到内核命令行中。 -
Clevis 现在可以正确地处理使用
sss pin的错误配置,clevis encrypt sss子命令会返回输出来指示错误原因。
Clevis 不再自动添加 rd.neednet=1
Clevis 现在可以正确地生成通用 initrd (初始 ramdisk),默认没有特定于主机的配置选项。因此,Clevis 不再会在内核命令行中自动添加 rd.neednet=1 参数。
如果您的配置使用之前的功能,您可以使用带有 --hostonly-cmdline 参数的 dracut 命令,或者在 /etc/dracut.conf.d 中创建 clevis.conf 文件,并将 hostonly_cmdline=yes 选项添加到该文件中。initrd 构建过程中必须存在 Tang 绑定。
新软件包: rsyslog-udpspoof
rsyslog-udpspoof 子软件包已添加回 RHEL 8。此模块与常规 UDP 转发器类似,但允许在不同网络段之间转发 syslog,同时在 syslog 数据包中维护源 IP。
fapolicyd rebase 到 1.0.2
fapolicyd 软件包已更新到上游版本 1.0.2。与之前的版本相比,这个版本提供很多程序错误修复和增强,其中较最重要的是:
添加了
integrity配置选项,用于启用完整性检查:- 比较文件大小
- SHA-256 哈希的比较
- 完整性映射架构(IMA)子系统
-
fapolicydRPM 插件现在注册由 YUM 软件包管理器或 RPM 软件包管理器处理的任何系统更新。 - 规则现在可以在主体中包含 GID。
-
现在,您可以在 debug 和
syslog信息中包含规则号。
新的RPM插件会通知fapolicyd关于 RPM事务过程中的更改
这个 rpm 软件包更新引进了新的 RPM 插件,该插件将 fapolicyd 框架与 RPM 数据库集成。插件通知了 RPM 事务期间已安装和更改的文件的 fapolicyd。因此,fapolicyd 现在支持完整性检查。
请注意,RPM 插件替换 YUM 插件,因为它的功能不仅限于 YUM 事务,也涵盖了 RPM 的更改。
