8.5. 安全


OpenSCAP 补救为 /etc/tmux.conf 设置正确的权限

在以前的版本中,当重新修复 SCAP 规则 configure_tmux_lock_after_time 时,/etc/tmux.conf 文件是使用与 umask (600)相关的权限创建的。这会导致 /etc/tmux.conf 对常规用户不可读。如果常规用户登录,它们会收到一条错误消息,必须在超时到期前等待几分钟,然后才能登录。有了这个更新,规则 configure_tmux_lock_after_time 的修复将 /etc/tmux.conf 的特定权限设为 644。因此,常规用户不会再遇到错误消息或登录延迟。

(BZ#2064696)

Rsyslog 的 SCAP 规则可以正确识别 .conf 文件

在以前的版本中,规则"确保系统日志文件拥有正确的权限" (xccdf_org.ssgproject.content_rule_rsyslog_files_permissions)没有在 Rsyslog include 语句中扩展 glob 表达式。因此,该规则没有解析所有相关配置文件,有些日志文件没有检查它们的权限。有了这个更新,该规则可以正确地扩展 glob 表达式,以识别它需要解析的 .conf 文件。现在,该规则可以正确地处理所需的 .conf 文件,以确保所有配置的日志文件都有正确的权限。

(BZ#2075384)

chronyd 的规则不需要显式的 chrony 用户配置

RHEL 默认在 chrony 用户下运行 chronyd。在以前的版本中,chronyd 服务配置用户的检查和修复过于严格。过于严格的检查导致误报和过度的补救。在这个版本中,规则 xccdf_org.ssgproject.content_rule_chronyd_run_as_chrony_user 的检查和补救会更新,以便最低限度的正确配置和传统的显式正确配置可以通过。因此,规则尊重默认的 RHEL 行为,不需要显式的 chrony 用户配置。

(BZ#2077531)

警告添加到 rsyslog_remote_loghost

SCAP 规则 xccdf_org.ssgproject.content_rule_rsyslog_remote_loghost 确保 Rsyslog 守护进程被配置为将日志消息发送到远程日志主机。但是,该规则没有配置 TCP 队列。因此,如果没有配置 TCP 队列,系统会挂起,远程日志主机变得不可用。这个更新添加了一条警告消息,解释了如何配置 TCP 队列。如果您在使用这个规则时遇到系统挂起,请读取警告并正确配置系统。

(BZ#2078974)

sudo_custom_logfile 的修复也适用于自定义 sudo 日志文件

在以前的版本中,SCAP 安全指南规则 xccdf_org.ssgproject.content_sudo_custom_logfile 的修复不适用于与 /var/log/sudo.log 不同路径的自定义 sudo 日志文件。有了这个更新,规则已被修复,如果系统有一个与预期路径不匹配的自定义的 sudo 日志文件,则该规则可以正确修复。

(BZ#2083109)

firewalld_sshd_port_enabled 的修复现在可以正常工作

在以前的版本中,SCAP 规则 xccdf_org.ssgproject.content_rule_firewalld_sshd_port_enabled 的 Bash 修复会错误地处理网络接口列表。另外,配置文件的名称与所需名称不同。这个更新已修复了补救。因此,补救可以正确地处理所有网络接口,配置文件有可预测的名称。

(BZ#2109602)

fagenrules --load 现在可以正常工作

在以前的版本中,fapolicyd 服务无法正确处理信号挂起(SIGHUP)。因此,在收到 SIGHUP 信号后 fapolicyd 会终止,fagenrules --load 命令无法正常工作。此更新包含了对此问题的修复。因此,fagenrules --load 现在可以正常工作,规则更新不再需要手动重启 fapolicyd

(BZ#2070639)

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.