7.4. 安全性
如果明确可信,GnuTLS 不再拒绝 SHA-1 签名的 CA
在以前的版本中,GnuTLS 库会检查所有证书颁发机构(CA)的签名哈希强度,即使 CA 被明确信任。因此,包含使用 SHA-1 算法签名的 CA 链被拒绝,带有错误消息 certificate’s signature hash strength is unacceptable。在这个版本中,GnuTLS 从签名散列强度检查中排除可信 CA,因此不再拒绝包含 CA 的证书链,即使它们使用弱算法签名。
FIPS 模式中启用硬件优化
在以前的版本中,联邦信息处理标准(FIPS 140-2)不允许使用硬件优化。因此,当使用 FIPS 模式时,在 libgcrypt 软件包中禁用了这个操作。在这个版本中,启用了 FIPS 模式的硬件优化,因此可以更快地执行所有加密操作。
leftikeport 和 rightikeport 选项可以正常工作
在以前的版本中,Libreswan 在任何 host-to-host Libreswan 连接中会忽略 leftikeport 和 rightikeport 选项。因此,Libreswam 使用默认端口,而不考虑任何非默认选项设置。在这个版本中,这个问题已被解决,您可以在默认选项中使用 leftikeport 和 rightikeport 连接选项。
SELinux 策略不允许 GDM 设置 GRUB boot_success 标记
在以前的版本中,SELinux 策略不允许 GNOME 显示管理器 (GDM) 在关闭和重启操作过程中设置 GRUB boot_success 标志。因此,GRUB 菜单会在下次引导时出现。在这个版本中,SELinux 策略引入了一个新的 xdm_exec_bootloader 布尔值,允许 GDM 设置 GRUB boot_success 标志,默认设置为启用。因此,GRUB 引导菜单在第一次引导时显示,并且没有 flicker 的引导支持功能可以正常工作。
selinux-policy 现在支持使用 TCP 封装的基于 IPsec 的 VPN
从 RHEL 8.4 开始,libreswan 软件包使用 TCP 封装支持基于 IPsec 的 VPN,但 selinux-policy 软件包没有反映这个更新。因此,当 Libreswan 被配置为使用 TCP 时,ipsec 服务将无法绑定到给定的 TCP 端口。在这个版本的 selinux-policy 软件包中,ipsec 服务可以绑定和连接到常用的 TCP 端口 4500,因此您可以在基于 IPsec 的 VPN 中使用 TCP 封装。
SELinux 策略现在会阻止 staff_u 用户切换到 unconfined_r
在以前的版本中,当启用 secure_mode 布尔值时,staff_u 用户可能会错误地切换到 unconfined_r 角色。因此,staff_u 用户可以执行影响系统安全性的特权操作。在这个版本中,SELinux 策略可防止 staff_u 用户使用 newrole 命令切换到 unconfined_r 角色。因此,非特权用户无法运行特权操作。
OSCAP Anaconda Addon 现在处理自定义配置集
在以前的版本中,OSCAP Anaconda Addon 插件无法在单独的文件中使用自定义来正确处理安全配置集。因此,即使您在对应的 Kickstart 部分指定了自定义配置集,RHEL 图形安装中也不会提供自定义配置集。此处理已被修复,您可以在 RHEL 图形安装中使用自定义 SCAP 配置文件。
(BZ#1691305)
在评估 STIG 配置集和其他 SCAP 内容时,OpenSCAP 不再失败
在以前的版本中,OpenSCAP 中的加密库初始化没有在 OpenSCAP 中正确执行,特别是在 filehash58 探测中。因此,在评估包含 filehash58_test Open Vulnerability 评估语言 (OVAL) 测试的 SCAP 内容时,会出现分段错误。这尤其会影响对 Red Hat Enterprise Linux 8 的 STIG 配置集的评估。评估意外失败,且没有生成结果。在 openscap 软件包的新版本中修复了初始化库的过程。因此,在评估 RHEL 8 的 STIG 配置集和其他包含 filehash58_test OVAL 测试的 SCAP 内容时,OpenSCAP 不再会失败。
Ansible 仅在需要时更新横幅(banner)文件
在以前的版本中,用于横幅补救的 playbook 总是删除该文件并重新创建它。因此,横幅文件索引节点总是被修改,而无需任何需要。在这个版本中,Ansible 修复 playbook 已被改进来使用 copy 模块,首先将现有内容与预期内容进行比较,并且仅在需要时更新该文件。因此,只有在现有内容与预期内容不同时才更新横幅文件。
USB 设备现在可以正常工作,DISA STIG 配置集
在以前的版本中,DISA STIG 配置集启用了 USBGuard 服务,但没有配置任何最初连接的 USB 设备。因此,USBGuard 服务会阻止任何没有特别允许的设备。这使得一些 USB 设备(如智能卡)无法访问。在这个版本中,应用 DISA STIG 配置集时会生成初始 USBGuard 配置,并允许使用任何连接的 USB 设备。因此,USB 设备不会被阻止且可以正常工作。
OSCAP Anaconda Addon 现在以文本模式安装所有所选软件包
在以前的版本中,OSCAP Anaconda Addon 插件不会在以文本模式运行时安装和删除安装前评估需要某些分区布局或软件包安装和删除的规则。因此,当使用 Kickstart 指定安全策略配置集并以文本模式运行安装时,不会安装所选安全配置集所需的任何额外软件包。OSCAP Anaconda Addon 现在会在安装开始前执行所需的检查,无论安装是图形安装还是基于文本的安装,所有所选软件包也都安装在文本模式中。
rpm_verify_permissions 从 CIS 配置集中删除
rpm_verify_permissions 规则 (比较文件权限和软件包默认权限)已从 Internet 安全中心(CIS)Red Hat Enterprise Linux 8 Benchmark 中删除。在这个版本中,CIS 配置集与 CIS RHEL 8 基准一致,因此这个规则不再影响根据 CIS 强化其系统的用户。
