9.4. 安全性
NSS
SEED 密码已弃用
Mozilla Network Security Services (NSS
) 库将不支持在以后的版本中使用 SEED 密码的 TLS 密码组合。为确保在 NSS 取消支持时依赖 SEED 密码的部署平稳过渡,红帽推荐对其它密码套件的支持。
请注意,在 RHEL 中,SEED 密码已经被默认禁用。
TLS 1.0 和 TLS 1.1 已弃用
TLS 1.0 和 TLS 1.1 协议在 DEFAULT
系统范围的加密策略级别被禁用。如果需要使用启用的协议,如 Firefox 网页浏览器中的视频检查程序,把系统范围的加密策略切换到 LEGACY
级别:
# update-crypto-policies --set LEGACY
如需更多信息,请参阅红帽客户门户网站中的 RHEL 8 中的 强加密默认值和弱加密算法 知识库中的文章以及 update-crypto-policies(8)
手册页。
在 RHEL 8 中弃用 DSA
数字签名算法(DSA)在 Red Hat Enterprise Linux 8 中被视为已弃用。依赖于 DSA 密钥的身份验证机制在默认配置中不起作用。请注意,即使使用系统范围的LEGACY
加密策略级别中,OpenSSH
客户端都不接受 DSA 主机密钥。
(BZ#1646541)
在 NSS
中弃用了SSL2
Client Hello
传输层安全(TLS
)协议版本 1.2 及更早版本允许以向后兼容安全套接字层(SSL
)协议版本 2 的方式与 客户端 Hello
消息进行协商。网络安全服务(NSS
)库中对这个功能的支持已被弃用,默认是禁用的。
需要这个功能支持的应用程序需要使用新的 SSL_ENABLE_V2_compatible_HELLO
API 启用它。以后的 Red Hat Enterprise Linux 8 版本中可以完全删除对这个功能的支持。
(BZ#1645153)
TPM 1.2 已被弃用
Trusted Platform Module (TPM) 安全加密处理器标准版本在 2016 年更新至 2.0 版本。TPM 2.0 比 TPM 1.2 提供了很多改进,它和之前的版本不向后兼容。在 RHEL 8 中弃用了 TPM 1.2,它可能会在下一个主发行版本中删除。
(BZ#1657927)
crypto-policies
派生的属性现已被弃用
随着自定义策略中 crypto-policies
指令作用域的引入,以下派生属性已被弃用: tls_cipher
、ssh_cipher
、ssh_group
、ike_protocol
和 sha1_in_dnssec
。另外,使用 protocol
属性而不指定范围现也已被弃用。有关推荐的替代品,请参阅 crypto-policies(7)
手册页。
使用 /etc/selinux/config
运行时禁用 SELinux 现已弃用
使用 /etc/selinux/config
文件中的 SELINUX=disabled
选项禁用 SELinux 已被弃用。在 RHEL 9 中,当您只通过 /etc/selinux/config
禁用 SELinux 时,系统启动时会启用SELinux ,但没有载入任何策略。
如果您的情况确实需要完全禁用 SELinux,红帽建议通过在内核命令行中添加 selinux=0
参数来禁用 SELinux,如在标题为使用SELinux的在引导时更改 SELinux模式部分中所述。
ipa
SELinux 模块从 selinux-policy
中删除了
ipa
SELinux 模块已从 selinux-policy
软件包中删除,因为不再维护它了。这个功能现在包括在 ipa-selinux
子软件包中。
如果您的场景需要在本地 SELinux 策略中使用 ipa
模块的类型或接口,请安装 ipa-selinux
软件包。
(BZ#1461914)
fapolicyd.rules
已被弃用
包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/
目录替代了 /etc/fapolicyd/fapolicyd.rules
文件。fagenrules
脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules
文件。/etc/fapolicyd/fapolicyd
中的规则仍由 fapolicyd
框架处理,但只是为了保证向后兼容。