支持控制台(Console)开发人员开始试用联系人

4.6. 安全性

libreswan rebase 到 4.4

libreswan 软件包已升级到上游版本 4.4,它引进了许多增强和 bug 修复。最值得注意的是:

  • IKEv2 协议:

    • 传输模式 和主机到主机连接中引入了对 TCP 封装的修复。
    • ipsec whack 命令中添加了 --globalstatus 选项,来显示重定向统计信息。
    • ipsec.conf 配置文件中的 vhostvnet 值不再允许 IKEv2 连接。

  • pluto IKE 守护进程:

    • 引入了对使用非标准 IKE 端口的主机到主机连接的修复。
    • 添加了对等 ID(IKEv2 IDrIKEv1 Aggr),以选择最佳初始连接。
    • 禁用 interface-ip= 选项,因为 Libreswan 尚未提供对应的功能。
    • 传输模式 中的 NAT 修复了 ipsec__updown 脚本中的 PLUTO_PEER_CLIENT 变量。
    • PLUTO_CONNECTION_TYPE 变量设为 transporttunnel
    • 现在可以匹配非模板通配符 ID 连接。

(BZ#1958968)

GnuTLS rebase 到 3.6.16

gnutls 软件包已更新至版本 3.6.16。重要的程序错误修复和增强包括:

  • 当成功时,gnutls_x509_crt_export2() 函数现在返回 0,而不是内部 base64 blob 的大小。这与 gnutls_x509_crt_export2(3) 手册页中的文档一致。
  • 由于没有遵循在线证书状态协议(OCSP)必须装订导致的证书验证失败现在被使用GNUTLS_CERT_INVALID 标志正确标记。
  • 在以前的版本中,即使通过 -VERS-TLS1.2 选项显式禁用了 TLS 1.2 时,如果启用了 TLS 1.3,服务器仍然会提供 TLS 1.2。版本协商已被修复,TLS 1.2 现在可以被正确禁用。

(BZ#1956783)

socat rebase 到 1.7.4

socat 软件包已从 1.7.3 版本升级到 1.7.4,它提供了很多 bug 修复和改进。最值得注意的是:

  • GOPENUNIX-CLIENT 地址现在支持 SEQPACKET 套接字。
  • 通用的 setsockopt-int 和相关选项在侦听或接受地址的情况下适用于连接的套接字。要在侦听套接字上启用设置选项,现在可以使用 setsockopt-listen 选项。
  • 向文件中添加了用于传输数据的原始转储的 -r-R 选项。
  • 添加了 ip-transparent 选项和 IP_TRANSPARENT 套接字选项。
  • OPENSSL-CONNECT 现在自动使用 SNI 功能,openssl-no-sni 选项关闭了 SNI。The openssl-snihost 选项覆盖了 openssl-commonname 选项的值或服务器名称。
  • 添加了 accept-timeoutlisten-timeout 选项。
  • 添加了 ip-add-source-membership 选项。
  • 现在 UDP-DATAGRAM 地址不会像在 1.7.3 中那样检查对等的回复端口。如果您的场景需要之前的行为,请使用 sourceport 选项。
  • 新的 proxy-authorization-file 选项从文件读取 PROXY-CONNECT 凭据,并能够对进程表隐藏此数据。
  • 添加了对 VSOCK-CONNECTVSOCK-LISTEN 地址的 AF_VSOCK 支持。

(BZ#1947338)

crypto-policies rebase 到 20210617

crypto-policies 软件包已升级到上游版本 20210617,它与之前的版本相比提供了很多改进和 bug 修复,最重要的是:

  • 现在,您可以使用限定范围的策略为不同的后端启用不同的算法集。每个配置指令现在都可以限制到特定的协议、库或服务。有关新语法的可用范围和详情的完整列表,请查看 crypto-policies(7) 手册页。例如,以下指令允许使用带有 SSH 协议的 AES-256-CBC 密码,从而影响 libssh 库和 OpenSSH 套件: 

    cipher@SSH = AES-256-CBC+

  • 指令现在可以使用星号来用通配符指定多个值。例如,以下指令使用 libssh 为应用程序禁用所有 CBC 模式密码: 

    cipher@libssh = -*-CBC

    请注意,将来的更新可以引入当前通配符匹配的新算法。

(BZ#1960266)

crypto-policies 现在在自定义策略中支持 AES-192 密码

系统范围的加密策略现在在自定义策略和子策略中支持 密码 选项的以下值:AES-192-GCMAES-192-CCMAES-192-CTRAES-192-CBC.因此,您可以为 Libreswan 应用程序启用 AES-192-GCMAES-192-CBC 密码,为 libssh 库和通过 crypto-policies 的 OpenSSH 套件启用 AES-192-CTRAES-192-CBC 密码 。

(BZ#1876846)

FUTURE 加密策略中禁用了 CBC 密码

这个 crypto-policies 软件包的更新禁用了在 FUTURE 策略中使用密码块链(CBC)模式的密码。FUTURE 中的设置应该能经受近期的未来攻击,这种改变反映了当前的进步。因此,当 FUTURE 策略处于活跃状态时,与 crypto-policies 相关的系统组件无法使用 CBC 模式。

(BZ#1933016)

添加新内核 AVC 追踪点

有了这个增强,添加了一个新的 avc:selinux_audited 内核追踪点,在 SELinux 拒绝要被审核时触发。此功能允许对 SELinux 拒绝的更方便的低级调试。新的追踪点为像 perf 这样的工具提供。

(BZ#1954024)

SCAP 安全指南中新的 ACSC ISM 配置文件

scap-security-guide 软件包现在提供澳大利亚网络安全中心(ACSC)信息安全手册(ISM)合规性配置文件和相应的 Kickstart 文件。有了这个增强,您可以安装符合此安全基准的系统,并使用 OpenSCAP 套件检查安全合规性,以及为 ACSC 定义的安全控制使用基于风险的方法进行补救。

(BZ#1955373)

SCAP 安全指南 rebase 到 0.1.57

scap-security-guide 软件包已更新到上游版本 0.1.57,它提供多个 bug 修复和改进。最值得注意的是:

  • 引进了澳大利亚网络安全中心(ACSC)信息安全手册(ISM)配置文件。该配置文件扩展了 Essential Eight 配置文件,并添加了更多 ISM 中定义的安全控制。
  • 互联网安全中心(CIS)配置文件已根据官方 CIS 基准测试中定义的加固级别和系统类型(服务器和工作站)被重组为四个不同的配置文件。
  • 安全技术实施指南(STIG)安全配置文件已更新,并实施了最近发布的版本 V1R3 中的规则。
  • 引进了带有 GUI 的安全技术实施指南(STIG with GUI)安全配置文件。该配置文件从 STIG 配置文件衍生而来,并与选择 Server with GUI 软件包选择的 RHEL 安装兼容。
  • 引进了 ANSSI 高级配置文件,其基于法国国家安全局(ANSSI)的 ANSSI BP-028 建议。这包括一个实现高度强化级别的规则。

(BZ#1966577)

OpenSCAP rebase 到 1.3.5

OpenSCAP 软件包已 rebase 到上游版本 1.3.5。重要的修复和增强包括:

  • ovalxccdf 模块的 validate 命令默认启用基于 Schematron 的验证。
  • 添加了 SCAP 1.3 源数据流 Schematron。
  • 添加了 XML 签名验证。
  • 允许将 mtime 加持到 SOURCE_DATE_EPOCH.
  • 添加了 severityrole 属性。
  • 支持规则和组(XCCDF)的 requiresconflicts 元素。
  • HTML 报告中的 Kubernetes 补救。
  • gpfsprocsysfs 文件系统按非本地处理。
  • 修复了风格为 --arg=val 的常见选项的处理。
  • 修复了 StateType 操作员的行为。
  • 命名空间在 XPath 表达式(xmlfilecontent)中被忽略,以允许不完整的 XPath 查询。
  • 修复了导致对存在过分突出的数据进行警告的问题。
  • 修复了 --stig-viewer 功能中的多个段错误和一个中断的测试。
  • 修复了 TestResult/benchmark/@href 属性。
  • 修复了许多内存管理问题。
  • 修复了许多内存泄漏。

(BZ#1953092)

验证数字签名的 SCAP 源数据流

为了符合安全内容自动化协议(SCAP)1.3 规范,OpenSCAP 现在验证数字签名的 SCAP 源数据流的数字签名。因此,当评估数字签名的 SCAP 源数据流时,OpenSCAP 会验证数字签名。签名验证是在加载文件时自动执行的。带有无效签名的数据流被拒绝,OpenSCAP 不会评估其内容。OpenSCAP 使用带有 OpenSSL 加密库的 XML 安全库 来验证数字签名。

您可以通过在 oscap xccdf eval 命令中添加 --skip-signature-validation 选项来跳过签名验证。

重要

OpenSCAP 不解决作为 KeyInfo 签名元素一部分且用于验证签名的证书或公钥的可信度问题。您应该自己验证这些密钥,以防止对不良行为者修改和签名的数据流的评估。

(BZ#1966612)

新的 DISA STIG 配置文件与 Server with GUI 安装兼容

SCAP 安全指南 中已添加了新的配置文件 DISA STIG with GUI。这个配置文件源自 DISA STIG 配置文件,并与选择 Server with GUI 软件包组的 RHEL 安装兼容。以前存在的 stig 配置文件与 Server with GUI 不兼容,因为 DISA STIG 要求卸载任何图形用户界面。但是,如果在评估期间由安全官正确记录了,则这可以被覆盖。因此,新的配置文件有助于将 RHEL 系统安装为与 DISA STIG 配置文件一致的 Server with GUI

(BZ#1970137)

STIG 安全配置文件更新至版本 V1R3

SCAP 安全指南中的 DISA STIG for Red Hat Enterprise Linux 8 配置文件已更新为与最新版本的 V1R3 保持一致。现在,这个配置集也更加稳定,并与 Defense 信息系统(DISA)提供的 RHEL 8 STIG(安全技术实施指南)手动基准兼容。

第二次迭代带来了大约 90% 的 STIG 覆盖率。您应该只使用这个配置文件的当前版本,因为旧版本已不再有效。

警告

自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。

(BZ#1993056)

SCAP 安全指南中的三个新 CIS 配置文件

SCAP 安全指南中引入了三个与互联网安全中心(CIS)Red Hat Enterprise Linux 8 Benchmark 一致的新合规性配置文件。CIS RHEL 8 Benchmark 为"服务器"和"工作站"部署提供了不同的配置建议,并为每个部署定义了两个配置级:"级别 1"和"级别 2"。以前在 RHEL8 中提供的 CIS 配置文件只代表 "Server Level 2"。三个新配置文件完成了 CIS RHEL8 Benchmark 配置文件的范围,现在您可以更轻松地根据 CIS 建议评估您的系统。

所有当前可用的 CIS RHEL 8 配置文件是:

Workstation Level 1

xccdf_org.ssgproject.content_profile_cis_workstation_l1

Workstation Level 2

xccdf_org.ssgproject.content_profile_cis_workstation_l2

Server Level 1

xccdf_org.ssgproject.content_profile_cis_server_l1

Server Level 2

xccdf_org.ssgproject.content_profile_cis

(BZ#1993197)

通过对类似的系统调用分组改进了审计的补救性能

在以前的版本中,审计补救为配置文件审计的每个系统调用生成单独的规则。这导致了大量的审计规则,降低了性能。有了这个增强,审计的补救可将具有相同字段的类似的系统调用的规则组合到一条规则中,从而提高了性能。

组合在一起的系统调用的示例: 

-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F auid>=1000 -F auid!=unset -F key=perm_mod
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat, rmdir -F auid>=1000 -F auid!=unset -F key=delete
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccesful-perm-change
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat -F auid>=1000 -F auid!=unset -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccessful-delete

(BZ#1876483)

添加了 ANSSI-BP-028 高级别的配置文件

根据法国国家安全局(ANSSI)的 ANSSI BP-028 建议,引入了 ANSSI 高级配置文件。这完成了 SCAP 安全指南中 所有 ANSSI-BP-028 v1.2 强化级别的配置文件的可用性。使用新的配置文件,您可以在高强化级别上将系统强化为 GNU/Linux 系统的 ANSSI 的建议。因此,您可以使用 ANSSI Ansible Playbook 和 ANSSI SCAP 配置文件配置并自动化 RHEL 8 系统的合规性以达到最严格的级别。

(BZ#1955183)

为加密 Rsyslog TCP 和 RELP 流量添加了 OpenSSL

OpenSSL 网络流驱动程序已添加到 Rsyslog 中。此驱动程序使用 OpenSSL 库实现了 TLS 保护的传输。与使用 GnuTLS 库的流驱动程序相比,这提供了额外的功能。现在,您可以使用 OpenSSL 或 GnuTLS 作为 Rsyslog 网络流驱动程序。

(BZ#1891458)

Rsyslog rebase 到 8.2102.0-5

rsyslog 软件包已 rebase 到上游版本 8.2102.0-5,与上一版本相比,其提供了以下显著变化:

  • 添加了 exists() 脚本函数,以检查变量是否存在,如 $!path!var
  • 添加了对使用 omrelpimrelp 模块的新配置参数 tls.tlscfgcmd 设置 OpenSSL 配置命令的支持。

  • 为发送到远程服务器的速率限制 syslog 消息在 omfwd 模块中添加了新的速率限制选项:

    • ratelimit.interval 指定速率限制间隔(以秒为单位)。
    • ratelimit.burst 指定消息数中速率限制的突发。
  • 通过各种改进重写了 immark 模块。
  • imptcp 模块中添加了 max sessions 配置参数。最大值是按每个实例测量的,而不是在所有实例间全局测量的。
  • 添加了 rsyslog-openssl 子软件包;此网络流驱动程序使用 OpenSSL 库实现 TLS 保护的传输。
  • 使用 MaxBytesPerMinuteMaxLinesPerMinute 选项为 imfile 模块添加每分钟速率限制。这些选项接受整数值,并限制一分钟内可以发送的字节数或行数。
  • 添加了对 imtcpomfwd 模块的支持,以使用 streamdriver.TlsVerifyDepth 选项为证书链验证配置最大深度。

(BZ#1932795)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.