4.4. 安全

NSS 不再支持少于 1023 位的 RSA 密钥

网络安全服务(NSS)库的更新将所有 RSA 操作的最小密钥大小从 128 改为 1023 位。这意味着 NSS 不再执行以下功能：

SCAP 安全指南 rebase 到 0.1.63

SCAP 安全指南(SSG)软件包已更新到上游版本 0.1.63。此版本提供各种改进和程序错误修复，最重要的是：

SSG CIS 配置文件与 CIS RHEL 8 基准 2.0.0 保持一致

SCAP 安全指南(SSG)现在包含将互联网安全中心(CIS)配置文件与 CIS Red Hat Enterprise Linux 8 基准版本 2.0.0 保持一致的更改。这个基准版本添加了新的要求，删除了不再相关的要求，并对一些现有的要求进行了重新排序。更新会影响相关规则中的引用，以及对应配置文件的准确性。

RHEL 8 STIG 配置文件现在与 DISA STIG 内容保持一致

包括在 scap-security-guide (SSG)软件包中的 Red Hat Enterprise Linux 8 的 DISA STIG 配置文件(xccdf_org.ssgproject.content_profile_stig) 可用于根据国防部信息系统(DISA)制定的安全技术实施指南(STIG)来评估系统。您可以使用 SSG 中的内容修复您的系统，但您可能需要使用 DISA STIG 自动化内容来评估您的系统。有了这个更新，DISA STIG RHEL 8 配置文件与 DISA 的内容更加一致。这会导致 SSG 修复后对 DISA 内容的发现较少。

如果 /tmp 和 /var/tmp 分区不存在，则挂载选项的 SSG 规则不再失败

在以前的版本中，如果系统上不存在此类分区，则 /tmp 和 /var/tmp 分区的挂载选项的 SCAP 安全指南(SSG)规则会错误地报告 失败 结果。

STIG 安全配置文件已更新到版本 V1R7

SCAP 安全指南中的 Red Hat Enterprise Linux 8 的 DISA STIG 配置文件已更新为与最新的 V1R7 版本保持一致。

clevis-luks-askpass 现在被默认启用

/lib/systemd/system-preset/90-default.preset 文件现在包含 enable clevis-luks-askpass.path 配置选项，并且 clevis-systemd 子软件包的安装确保 clevis-luks-askpass.path 单元文件被启用。这使 Clevis 加密客户端也可解锁在引导过程后期挂载的 LUKS 加密的卷。在此次更新之前，管理员必须使用 systemctl enable clevis-luks-askpass.path 命令来使 Clevis 解锁此类卷。

为 Rsyslog 错误文件添加了一个最大大小选项

使用新的 action.errorfile.maxsize 选项，您可以为 Rsyslog 日志处理系统指定错误文件的最大字节数。当错误文件达到指定大小时，Rsyslog 无法在其中写入额外的错误或其他数据。这可防止错误文件填满文件系统，并使主机不可用。

fapolicyd rebase 到 1.1.3

fapolicyd 软件包已升级到版本 1.1.3。主要改进和 bug 修复包括：