4.2. 安全性
opencryptoki rebase 到 3.21.0
opencryptoki 软件包已 rebase 到版本 3.21.0,它提供很多改进和 bug 修复。最值得注意的是, opencryptoki 现在支持以下功能:
- 并发硬件安全模块(HSM)主密钥更改
-
将所选密钥转换为受保护的密钥的
protected-key选项 - 其他密钥类型,如 DH、DSA 和通用 secret 密钥类型
- EP11 主机库版本 4
- AES-XTS 密钥类型
- 特定于 IBM 的 Kyber 密钥类型和机制
- 其他特定于 IBM 的 Dilithium 密钥第 2 轮和第 3 轮变体
另外,pkcsslotd 槽管理器不再以 root 用户身份运行,opencryptoki 提供了进一步强化。有了此更新,您也可以使用以下一组新命令:
p11sak set-key-attr- 要修改密钥
p11sak copy-key- 要复制密钥
p11sak import-key- 要导入密钥
p11sak export-key- 要导出密钥
Bugzilla:2159697[1]
fapolicyd 现在为故障排除提供规则号
有了这个增强,新的内核和 Audit 组件允许 fapolicyd 服务发送导致拒绝 fanotify API 的规则号。因此,您可以更精确地对与 fapolicyd 相关的问题进行故障排除。
ANSSI-BP-028 安全配置文件更新至版本 2.0
SCAP 安全指南中的以下法国信息系统安全局(ANSSI) BP-028 配置文件已更新为与版本 2.0 保持一致:
- ANSSI-BP-028 最低级别
- ANSSI-BP-028 中间级别
- ANSSI-BP-028 增强级别
- ANSSI-BP-028 高级别
更好地定义交互式用户
scap-security-guide 软件包中的规则已被改进,以提供更一致的交互式用户配置。在以前的版本中,一些规则使用不同的方法来识别交互式和非交互式用户。有了这个更新,我们已统一了交互用户的定义。UID 大于或等于 1000 的用户帐户现在被视为交互式用户,但 nobody 和 nfsnobody 帐户以及使用 /sbin/nologin 作为登录 shell 的帐户除外。
这个更改会影响以下规则:
-
accounts_umask_interactive_users -
accounts_user_dot_user_ownership -
accounts_user_dot_group_ownership -
accounts_user_dot_no_world_writable_programs -
accounts_user_interactive_home_directory_defined -
accounts_user_interactive_home_directory_exists -
accounts_users_home_files_groupownership -
accounts_users_home_files_ownership -
accounts_users_home_files_permissions -
file_groupownership_home_directories -
file_ownership_home_directories -
file_permissions_home_directories -
file_permissions_home_dirs -
no_forward_files
Bugzilla:2157877,Bugzilla:2178740
DISA STIG 配置文件现在支持 audit_rules_login_events_faillock
有了这个增强,SCAP 安全指南 audit_rules_login_events_faillock 规则(其引用了 STIG ID RHEL-08-030590)已添加到 RHEL 8 的 DISA STIG 配置文件中。此规则检查 Audit 守护进程是否已配置为记录任何尝试修改存储在 /var/log/faillock 目录中的登录事件日志。
OpenSCAP rebase 到 1.3.8
OpenSCAP 软件包已更新到上游版本 1.3.8。此版本提供各种程序错误修复和增强,最重要的是:
-
修复了
systemd探测,以不忽略某些systemd单元 -
向
shadowOVAL 探测添加了离线功能 -
向
sysctlOVAL 探测添加了离线功能 -
向网络文件系统列表中添加了
auristorfs -
使用
autotailor工具生成的定制文件为问题创建了一个临时解决方案
SCAP 安全指南 rebase 到版本 0.1.69
SCAP 安全指南(SSG)软件包已 rebase 到上游版本 0.1.69。此版本提供各种改进和 bug 修复,特别是为 RHEL 9 提供的三个新的 SCAP 配置文件,它们与 2022 年 10 月西班牙国家加密中心发布的三级 CCN-STIC-610A22 指南一致:
- CCN Red Hat Enterprise Linux 9 - 基本
- CCN Red Hat Enterprise Linux 9 - 中级
- CCN Red Hat Enterprise Linux 9 - 高级
支持从 RHEL 8.8 及更新版本到 RHEL 9.2 及更新版本的启用了 FIPS 的原位升级
随着 RHBA-2023:3824 公告的发布,您可以执行 RHEL 8.8 及更新版本系统到 RHEL 9.2 及更新版本系统的启用了 FIPS 模式的原位升级。
crypto-policies permitted_enctypes 不再在 FIPS 模式下破坏复制
在此次更新之前,在 RHEL 8 上运行的 IdM 服务器发送一个 AES-256-HMAC-SHA-1- 加密的服务票据,即在 FIPS 模式下运行 RHEL 9 的一个 IdM 副本。因此,默认的 permitted_enctypes krb5 配置在 FIPS 模式下破坏了 RHEL 8 IdM 服务器和 RHEL 9 IdM 副本之间的复制。
有了此更新,permitted_enctypes krb5 配置选项的值取决于 mac 和 cipher 加密策略 值。默认情况下,它允许对可互操作的加密类型进行优先处理。
作为此更新的额外结果,仅在 LEGACY:AD-SUPPORT 子策略和 aes256-cts-hmac-sha1-96 中可用的 arcfour-hmac-md5 选项,在 FUTURE 策略中不再可用。
如果使用 Kerberos,请验证 /etc/crypto-policies/back-ends/krb5.config 文件中 permitted_enctypes 的值的顺序。如果您的场景需要不同的顺序,请应用自定义加密子策略。
审计现在支持 FANOTIFY 记录字段
audit 软件包的这个更新引进了对 FANOTIFY 审计记录字段的支持。审计子系统现在在 AUDIT_FANOTIFY 记录中记录额外的信息,特别是:
-
fan_type指定FANOTIFY事件的类型 -
fan_info指定额外的上下文信息 -
sub_trust和obj_trust指示事件中涉及的主题和对象的信任级别
因此,您可以更好地理解为什么在某些情况下审计系统拒绝访问。这可帮助您为 fapolicyd 框架等工具编写策略。
新的 SELinux 布尔值,以允许 QEMU 客户机代理执行受限命令
在以前的版本中,应该通过 QEMU 客户机代理守护进程程序在受限上下文中执行的命令,如 mount 失败,并显示 Access Vector Cache (AVC) denial。要能够执行这些命令,guest-agent 必须在 virt_qemu_ga_unconfined_t 域中运行。
因此,这个更新添加了 SELinux 策略布尔值 virt_qemu_ga_run_unconfined,它允许 guest-agent 为以下目录中的可执行文件转换为 virt_qemu_ga_unconfined_t :
-
/etc/qemu-ga/fsfreeze-hook.d/ -
/usr/libexec/qemu-ga/fsfreeze-hook.d/ -
/var/run/qemu-ga/fsfreeze-hook.d/
另外,qemu-ga 守护进程的转换的必要规则已添加到 SELinux 策略布尔值中。
因此,您现在可以通过启用 virt_qemu_ga_run_unconfined 布尔值,通过没有 AVC 拒绝的 QEMU 客户机代理执行受限命令。
