8.5. 安全
OpenSCAP 补救为 /etc/tmux.conf
设置正确的权限
在以前的版本中,当重新修复 SCAP 规则 configure_tmux_lock_after_time
时,/etc/tmux.conf
文件是使用与 umask (600)相关的权限创建的。这会导致 /etc/tmux.conf
对常规用户不可读。如果常规用户登录,它们会收到一条错误消息,必须在超时到期前等待几分钟,然后才能登录。有了这个更新,规则 configure_tmux_lock_after_time
的修复将 /etc/tmux.conf
的特定权限设为 644。因此,常规用户不会再遇到错误消息或登录延迟。
Rsyslog 的 SCAP 规则可以正确识别 .conf
文件
在以前的版本中,规则"确保系统日志文件拥有正确的权限" (xccdf_org.ssgproject.content_rule_rsyslog_files_permissions
)没有在 Rsyslog include 语句中扩展 glob 表达式。因此,该规则没有解析所有相关配置文件,有些日志文件没有检查它们的权限。有了这个更新,该规则可以正确地扩展 glob 表达式,以识别它需要解析的 .conf
文件。现在,该规则可以正确地处理所需的 .conf
文件,以确保所有配置的日志文件都有正确的权限。
(BZ#2075384)
chronyd
的规则不需要显式的 chrony
用户配置
RHEL 默认在 chrony
用户下运行 chronyd
。在以前的版本中,chronyd
服务配置用户的检查和修复过于严格。过于严格的检查导致误报和过度的补救。在这个版本中,规则 xccdf_org.ssgproject.content_rule_chronyd_run_as_chrony_user
的检查和补救会更新,以便最低限度的正确配置和传统的显式正确配置可以通过。因此,规则尊重默认的 RHEL 行为,不需要显式的 chrony
用户配置。
警告添加到 rsyslog_remote_loghost
中
SCAP 规则 xccdf_org.ssgproject.content_rule_rsyslog_remote_loghost
确保 Rsyslog 守护进程被配置为将日志消息发送到远程日志主机。但是,该规则没有配置 TCP 队列。因此,如果没有配置 TCP 队列,系统会挂起,远程日志主机变得不可用。这个更新添加了一条警告消息,解释了如何配置 TCP 队列。如果您在使用这个规则时遇到系统挂起,请读取警告并正确配置系统。
sudo_custom_logfile
的修复也适用于自定义 sudo
日志文件
在以前的版本中,SCAP 安全指南规则 xccdf_org.ssgproject.content_sudo_custom_logfile
的修复不适用于与 /var/log/sudo.log
不同路径的自定义 sudo
日志文件。有了这个更新,规则已被修复,如果系统有一个与预期路径不匹配的自定义的 sudo
日志文件,则该规则可以正确修复。
firewalld_sshd_port_enabled
的修复现在可以正常工作
在以前的版本中,SCAP 规则 xccdf_org.ssgproject.content_rule_firewalld_sshd_port_enabled
的 Bash 修复会错误地处理网络接口列表。另外,配置文件的名称与所需名称不同。这个更新已修复了补救。因此,补救可以正确地处理所有网络接口,配置文件有可预测的名称。
fagenrules --load
现在可以正常工作
在以前的版本中,fapolicyd
服务无法正确处理信号挂起(SIGHUP)。因此,在收到 SIGHUP 信号后 fapolicyd
会终止,fagenrules --load
命令无法正常工作。此更新包含了对此问题的修复。因此,fagenrules --load
现在可以正常工作,规则更新不再需要手动重启 fapolicyd
。