支持控制台(Console)开发人员开始试用联系人

4.6. 安全性

FIPS 模式现在有针对 FIPS 140-3 的更安全的设置

内核中的 FIPS 模式设置已被调整,以符合联邦信息处理标准(FIPS) 140-3。这个更改对许多加密算法、功能和密码套件引入了严格的设置。最值得注意的是:

  • Triple Data Encryption Standard (3DES)、Eliptic-curve Diffie-Hellman (ECDH)和 Finite-Field Diffie-Hellman (FFDH)算法现已被禁用。这个更改会影响内核 keyring 中的蓝牙、与 DH 相关的操作,以及 Intel QuickAssist Technology (QAT)加密加速器。
  • 基于哈希的消息验证码(HMAC)密钥现在不能少于 112 位。对于 Rivest-Shamir-Adleman (RSA)算法,最小密钥长度设为 2048 位。
  • 使用 xts_check_key() 函数的驱动程序已被更新为使用 xts_verify_key() 函数。
  • 现在禁用了以下确定性 Random Bit Generator (DRBG)哈希功能:SHA-224、SHA-384、SHA512-224、SHA512-256、SHA3-224 和 SHA3-384。
注意

虽然 FIPS 模式下的 RHEL 8.6 (和更新版本)内核被设计为符合 FIPS 140-3 ,但还没有被国家标准与技术(NIST)加密模块验证程序(CMVP)认证。在 RHSA-2021:4356 公告更新后,最新认证的内核模块是更新的 RHEL 8.5 内核。该认证适用于 FIPS 140-2 标准。您无法选择加密模块是否符合 FIPS 140-2 或 140-3。如需更多信息,请参阅 合规活动和政府标准: FIPS 140-2 和 FIPS 140-3 知识库文章。

Bugzilla:2107595, Bugzilla:2158893, Bugzilla:2175234, Bugzilla:2166715, Bugzilla:2129392, Bugzilla:2152133

libreswan rebase 到 4.9

libreswan 软件包已升级到版本 4.9。与以前版本相比的显著变化包括:

  • addconnwhack 工具添加了对 {left,right}pubkey= 的支持
  • 添加了密钥派生功能(KDF)自我测试
  • 更新了对 seccomp 过滤器允许的系统调用列表

  • 显示主机的身份验证密钥(showhostkey):

    • 添加了对 Elliptic Curve Signature Algorithm (ECDSA) pubkeys 的支持
    • 添加了 --pem 选项以打印 Privacy-Enhanced Mail (PEM)编码的公钥

  • 互联网密钥交换协议版本 2 (IKEv2):

    • 可扩展的身份验证协议 - 传输层安全(EAP-TLS)支持
    • 仅支持 EAP 身份验证
    • 标记的 IPsec 改进

  • pluto Internet Key Exchange(IKE)守护进程:

    • 支持 maxbytesmaxpacket 计数器
    • replay-window 的默认值从 32 改为 128
    • esn= 的默认值改为 either,将首选值改为 yes
    • replay-window= 设为 0时,禁用 esn
    • 丢弃过时的调试选项,如 crypto-low

Bugzilla:2128672

SELinux 现在限制 udftools

有了这个 selinux-policy 软件包的更新,SELinux 会限制 udftools 服务。

Bugzilla:1972230

systemd-socket-proxyd的新 SELinux 策略

由于 systemd-socket-proxyd 服务需要使用特定的资源,所以一个具有所需规则的新策略被添加到 selinux-policy 软件包中。因此,该服务在其 SELinux 域中运行。

Bugzilla:2088441

OpenSCAP rebase 到 1.3.7

OpenSCAP 软件包已 rebase 到上游版本 1.3.7。此版本提供各种程序错误修复和增强,最重要的是:

  • 修复了处理 OVAL 过滤器时的错误 (rhbz#2126882)
  • 如果 XPath 不匹配,OpenSCAP 不再发出无效的空 xmlfilecontent 项(rhbz#2139060)
  • 防止 Failed to check available memory 错误(rhbz#2111040)

Bugzilla:2159290

Rsyslog 日志文件的 scap-security-guide 规则与 RainerScript 兼容

scap-security-guide 中用于检查和修复 Rsyslog 日志文件的所有权、组所有权和权限的规则现在也与使用 RainerScript 语法定义的日志文件兼容。现代系统已在 Rsyslog 配置文件中使用 RainerScript 语法,相应的规则无法识别此语法。因此,scap-security-guide 规则现在在两种可用语法中可以检查并修复 Rsyslog 日志文件的所有权、组所有权和权限。

Bugzilla:2072444

STIG 安全配置文件更新至版本 V1R9

SCAP 安全指南中的 DISA STIG for Red Hat Enterprise Linux 8 配置文件已更新为与最新版本的 V1R9 一致。此发行版本还包括在 V1R8 中发布的更改。

因为之前的版本已不再有效,因此只使用此配置文件的当前版本。

以下 STIG ID 已更新:

  • V1R9

    • RHEL-08-010359 - 选择的规则 aide_build_database
    • RHEL-08-010510 - 删除的规则 sshd_disable_compresssion
    • RHEL-08-020040 - 配置 tmux keybinding 的新规则
    • RHEL-08-020041 - 配置启动 tmux 而不是 exec tmux 的新规则

  • V1R8

    • 多个 STIG ID - sshdsysctl 规则可以识别和删除重复或冲突的配置。
    • RHEL-08-010200 - SSHD ClientAliveCountMax 被配置为值 1
    • RHEL-08-020352 - 检查和补救现在忽略 .bash_history
    • RHEL-08-040137 - 检查更新,以检查 /etc/fapolicyd/fapolicyd.rules/etc/fapolicyd/complied.rules
警告

自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。

Bugzilla:2152658

RHEL 8 STIG 配置文件与基准更加一致

满足 RHEL 8 STIG 要求的四个现有规则是数据流的一部分,但之前没有包含在 STIG 配置文件中(stigstig_gui)。有了这个更新,以下规则现在包含在配置文件中:

  • accounts_passwords_pam_faillock_dir
  • accounts_passwords_pam_faillock_silent
  • account_password_selinux_faillock_dir
  • fapolicy_default_deny

因此,RHEL 8 STIG 配置文件有更高的覆盖。

Bugzilla:2156192

SCAP 安全指南 rebase 到 0.1.66

SCAP 安全指南(SSG)软件包已 reb ase到上游版本 0.1.66。此版本提供各种改进和程序错误修复,最重要的是:

  • 更新了 RHEL 8 STIG 配置文件
  • 弃用了规则 account_passwords_pam_faillock_audit ,而使用 accounts_passwords_pam_faillock_audit

Bugzilla:2158404

OpenSSL 驱动程序现在可以在 Rsyslog 中使用证书链

NetstreamDriverCaExtraFiles 指令允许配置多个额外的证书颁发机构(CA)文件。有了这个更新,您可以指定多个 CA 文件,OpenSSL 库可以验证它们,这是 SSL 证书链所必需的。因此,您可以将 Rsyslog 中的证书链与 OpenSSL 驱动程序一起使用。

Bugzilla:2124934

opencryptoki rebase 到 3.19.0

opencryptoki 软件包已 rebase 至版本 3.19.0,它提供很多改进和 bug 修复。最值得注意的是, opencryptoki 现在支持以下功能:

  • 特定于 IBM 的 Dilithium 密钥
  • 双功能加密函数
  • 使用新的 C_SessionCancel 函数取消基于活跃会话的操作,如 PKCS#11 Cryptographic Token Interface Base Specification v3.0 中所述
  • 通过 CKM_IBM_ECDSA_OTHER 机制的 Schnorr 签名
  • 通过 CKM_IBM_BTC_DERIVE 机制的比特币密钥派生
  • IBM z16 系统中的 EP11 令牌

Bugzilla:2110315

新的用于闲置会话终止的 SCAP 规则

新的 SCAP 规则 logind_session_timeout 已添加到用于增强和高级别的 ANSSI-BP-028 配置文件中的 scap-security-guide 软件包中。此规则使用 systemd 服务管理器的新功能,并在一定时间后终止闲置用户会话。此规则提供多个安全策略所需的健壮的空闲会话终止机制的自动配置。因此,OpenSCAP 可以自动检查与终止闲置用户会话相关的安全要求,如有必要,修复它。

Bugzilla:2122322

fapolicyd 现在提供对 RPM 数据库的过滤

使用新的配置文件 /etc/fapolicyd/rpm-filter.conf,您可以自定义 fapolicyd 软件框架存储在信任数据库中的 RPM-database 文件的列表。这样,您可以阻止 RPM 安装的某些应用程序,或者允许被默认的配置过滤器拒绝的应用程序。

Bugzilla:2165645

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.