4.7. 安全性
pcsc-lite 软件包 rebase 到 1.9.5
pcsc-lite 软件包已 rebase 到上游版本 1.9.5。这个更新提供了新的功能增强和程序错误修复,最重要的是:
-
在手动启动时,
pcscd守护进程不再会在不活跃后自动退出。 -
pcsc-spy工具现在支持 Python 3 和新的--thread选项。 -
SCardEndTransaction()函数的性能已经得到提升。 -
poll()函数替换了select()函数,它允许文件描述符编号高于FD_SETSIZE。 - 修复了很多内存泄漏和并发问题。
加密策略支持 diffie-hellman-group14-sha256
现在,您可以在 RHEL 系统范围的加密策略中对 libssh 库使用 diffie-hellman-group14-sha256 密钥交换(KEX)算法。这个更新还提供了 OpenSSH 奇偶校验,它也支持这个 KEX 算法。有了这个更新,libssh 默认启用 diffie-hellman-group14-sha256,但您可以使用自定义加密策略禁用它。
OpenSSH 服务器现在支持插入式配置文件
sshd_config 文件支持 Include 指令,这意味着您可以在另一个目录中包含配置文件。这样便可以使用 Ansible Engine 等自动化工具在 OpenSSH 服务器上轻松应用特定于系统的配置。它也与 ssh_config 文件的功能一致。此外,插入式配置文件也更加便于为不同的用途组织不同的配置文件,如过滤进入连接等。
(BZ#1926103)
sshd_config:ClientAliveCountMax=0 禁用连接终止
将 SSHD 配置选项 ClientAliveCountMax 设为 0 现在会禁用连接终止。这会将此选项的行为与上游保持一致。因此,当 OpenSSH 达到由 ClientAliveInterval 选项配置的超时时,OpenSSH 不再断开空闲的 SSH 用户。
libssh rebase 到版本 0.9.6
libssh 软件包已 rebase 到上游版本 0.9.6。此版本提供程序错误修正和增强,最重要的是:
-
支持多个身份文件。按照
~/.ssh/config文件中列出的顺序,文件从底部往上进行处理。 - SFTP 中的子秒时间解析已被修复。
-
现在,
ssh_channel_poll_timeout()函数的回归意外返回SSH_AGAIN已被修复。 - 修复了密钥重新交换后可能出现的堆缓冲区溢出问题。
- 当 AEAD 密码匹配但没有 HMAC 重叠时的握手 bug 已被修复。
- 错误路径上的几个内存泄漏已被修复。
libreswan rebase 到 4.5
libreswan 已 rebase 到上游版本 4.5。这个版本提供很多程序错误的修正和增强,最重要的是:
- 支持用于标记 IPsec 的互联网密钥交换版本 2(IKEv2)。
- 支持互联网密钥交换(IKE)安全联盟(SA)的无子启动。
(BZ#2017352)
验证 SELinux 模块校验和的新选项
在 semodule 命令中使用新添加的 --checksum 选项,您可以验证已安装的 SELinux 策略模块的版本。
因为 Common Intermediate Language(CIL)不会在模块本身中存储模块名称和模块版本,因此之前没有简单的方法来验证已安装的模块是否与应该安装的模块的版本相同。
使用新命令 semodule -l --checksum,您会收到指定模块的 SHA256 哈希,可将其与原始文件的校验和进行比较,这比重新安装模块要快。
使用示例:
# semodule -l --checksum | grep localmodule localmodule sha256:db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd # /usr/libexec/selinux/hll/pp localmodule.pp | sha256sum db002f64ddfa3983257b42b54da7b182c9b2e476f47880ae3494f9099e1a42bd -
OpenSCAP 可以读取本地文件
OpenSCAP 现在可以使用本地文件而不是远程 SCAP 源数据流组件。在以前的版本中,您无法对没有互联网访问的系统上包含远程组件的 SCAP 源数据流进行完整的评估。在这些系统上,OpenSCAP 无法评估这些数据流中的一些规则,因为远程组件需要从互联网下载。有了这个更新,您可以在执行 OpenSCAP 扫描前将远程 SCAP 源数据流组件下载并复制到目标系统,并通过使用 oscap 命令的 --local-files 选项将它们提供给 OpenSCAP。
SSG 现在扫描并修复主目录和互动用户的规则
用于检查和修复互动用户所使用的与主目录相关的所有现有规则的 OVAL 内容已添加到 SCAP 安全指南(SSG)套件中。许多基准测试需要验证属性和内容,它们通常位于交互用户的主目录中。由于系统中交互用户的存在和数量可能有所不同,因此之前没有强大的解决方法来使用 OVAL 语言填补这一空缺。这个更新添加了 OVAL 检查和补救,用于检测系统中的本地互动用户及其各自的主目录。因此,SSG 可以安全地检查并修复所有相关基准要求。
SCAP 规则现在有一个警告信息来为大型系统配置审计日志缓冲
SCAP 规则 xccdf_org.ssgproject.content_rule_audit_basic_configuration 现在会显示一个性能警告,这提示大型系统的用户由该规则配置的审计日志缓冲可能太小,并可能会覆盖自定义的值。该警告还描述了配置更大的审计日志缓冲的流程。有了这个增强,大型系统的用户可以保持合规,并正确设置审计日志缓冲。
SSG 现在支持 /etc/security/faillock.conf 文件
此增强添加了对 SCAP 安全指南(SSG)中 /etc/security/faillock.conf 文件的支持。有了这个更新,SSG 可以评估和修复 /etc/security/faillock.conf 文件,以定义 pam_faillock 设置。authselect 工具也用来启用 pam_faillock 模块,同时确保 pam 文件的完整性。因此,pam_faillock 模块的评估和修复与最新版本和最佳实践一致。
SCAP 安全指南 rebase 到 0.1.60
SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.60。此版本提供各种改进和程序错误修复,最重要的是:
-
强化 PAM 堆栈的规则现在使用
authselect作为配置工具。 - 现在支持定义表示 DISA STIG 自动化 SCAP 内容和 SCAP 自动化内容(增量裁剪)之间区别的裁剪文件。
-
规则
xccdf_org.ssgproject.content_enable_fips_mode现在仅检查 FIPS 模式是否已被正确启用。它不能保证系统组件已通过 FIPS 认证。
DISA STIG 配置文件支持 Red Hat Virtualization 4.4
Red Hat Enterprise Linux 8 的 DISA STIG 配置文件版本 V1R5 已被增强,可支持 Red Hat Virtualization 4.4。该配置文件与 Defense Information Systems Agency(DISA)提供的 RHEL 8 安全技术实施指南(STIG)手动基准一致。但是,一些配置不适用于安装了 Red Hat Virtualization(RHV)的主机,因为它们阻止 Red Hat Virtualization 安装和正常工作。
当在 Red Hat Virtualization Host(RHVH)上应用 STIG 配置文件时,在自托管安装(RHELH)或安装了 RHV Manager 的主机上,以下规则会导致"不适用":
-
package_gss_proxy_removed -
package_krb5-workstation_removed -
package_tuned_removed -
sshd_disable_root_login -
sudo_remove_nopasswd -
sysctl_net_ipv4_ip_forward -
xwindows_remove_packages
自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。
OpenSCAP rebase 到 1.3.6
OpenSCAP 软件包已 rebase 到上游版本 1.3.6。此版本提供各种程序错误修复和增强,最重要的是:
-
您可以使用
--local-files选项提供远程 SCAP 源数据流组件的本地副本。 -
OpenSCAP 接受多个
--rule参数,以便在命令行上选择多个规则。 -
OpenSCAP 允许使用
--skip-rule选项跳过某些规则的评估。 -
您可以使用
OSCAP_PROBE_MEMORY_USAGE_RATIO环境变量来限制 OpenSCAP 探测所使用的内存。 - OpenSCAP 现在支持 OSBuild Blueprint 作为补救类型。
clevis-systemd 不再依赖于 nc
有了这个增强,clevis-systemd 软件包不再依赖于 nc 软件包。当与 Extra Packages for Enterprise Linux(EPEL)一起使用时,依赖项无法正常工作。
audit rebase 到 3.0.7
audit 软件包已升级到 3.0.7 版本,它引入了很多改进和 bug 修复。最值得注意的是:
-
向审计基本规则添加了
sudoers。 -
将
--eoe-timeout选项添加到ausearch命令,并将类似的eoe_timeout选项添加到auditd.conf文件中,该文件指定事件超时结束的值,这会影响ausearch解析共存事件的方式。 - 为"audisp-remote"插件引入了一个修复,该插件在远程位置不可用时会使用 100% 的 CPU 容量。
审计现在提供指定事件超时结束的选项
有了这个版本,ausearch 工具支持 --eoe-timeout 选项,auditd.conf 文件包含 end_of_event_timeout 选项。您可以使用这些选项来指定事件超时的结束,以避免解析同位事件时出现的问题。事件超时结束的默认值设为 2 秒。
在审计基本规则中添加 sudoers
有了这个增强,/etc/sudoers 和 etc/sudoers.d/ 目录被添加到审计基本规则中,如支付卡行业数据安全标准(PCI DSS)和操作系统保护配置文件(OSPP)。这通过监控特权区域中的配置变化来提高安全性,如sudoers 。
(BZ#1927884)
rsyslog 包含用于高性能操作和 CEF 的 mmfields 模块
rsyslog 现在包含 rsyslog-mmfields 子软件包,它提供 mmfields 模块。这是使用 property replacer 字段提取的替代方式,但与 property replacer 不同,所有字段都会一次性提取,并存储在结构化数据部分中。因此,对于处理基于字段的日志格式,您可以专门使用 mmfields ,如通用事件格式(CEF),并且如果您需要大量字段或重复使用特定字段,也可以使用 mmfields。在这些情况下,mmfields 的性能优于现有的 Rsyslog 功能。
libcap rebase 到版本 2.48
libcap 软件包已升级到上游版本 2.48,它提供很多对之前版本的程序错误修复和增强,最重要的是:
-
用于 POSIX 语义系统调用的帮助程序库(
libpsx) - 支持覆盖系统调用功能
- 能力集的 IAB 抽象
-
其他
capsh测试功能
fapolicyd rebase 到 1.1
fapolicyd 软件包已升级至上游版本 1.1,其包括很多改进和程序错误修复。最显著的变化包括:
-
包含允许和拒绝执行规则的文件的
/etc/fapolicyd/rules.d/目录替代了/etc/fapolicyd/fapolicyd.rules文件。fagenrules脚本现在将此目录中的所有组件规则文件合并到/etc/fapolicyd/compiled.rules文件。详情请查看新的fagenrules(8)手册页。 -
除了用于将 RPM 数据库之外的文件标记为可信的
/etc/fapolicyd/fapolicyd.trust文件外,您现在可以使用新的/etc/fapolicyd/trust.d目录,它支持将可信文件列表分成多个文件。您还可以通过使用fapolicyd-cli -f子命令及--trust-file指令,为这些文件添加一个文件项。如需更多信息,请参阅fapolicyd-cli(1)和fapolicyd.trust(13)手册页。 -
fapolicyd信任数据库现在支持文件名中的空格。 -
现在,当将文件添加到信任数据库时,
fapolicyd会保存可执行文件的正确路径。
libseccomp rebase 到 2.5.2
libseccomp 软件包已 rebase 到上游版本 2.5.2。此版本提供程序错误修正和增强,最重要的是:
-
将 Linux 的 syscall 表更新到版本
v5.14-rc7。 -
将
get_notify_fd()函数添加到 Python 绑定,来获取通知文件描述符。 - 将所有架构的多路系统调用处理整合到一个位置。
- 向 PowerPC(PPC)和 MIPS 架构添加了多路系统调用支持。
-
更改了内核中
SECCOMP_IOCTL_NOTIF_ID_VALID操作的含义。 -
更改了
libseccomp文件描述符通知逻辑,以支持内核之前和现在对SECCOMP_IOCTL_NOTIF_ID_VALID的新使用。
