4.2. 安全性
提供了 Keylime 验证器和注册器容器
现在,您可以将 Keylime 服务器组件,验证器和注册器配置为容器。当配置为在容器内运行时,Keylime 注册器监控容器中的租户系统,而主机上无需有任何二进制文件。容器部署提供更好的隔离、模块化和 Keylime 组件的可重复性。
Jira:RHELDOCS-16721[1]
libkcapi 现在提供了一个选项,用来在哈希和计算中指定目标文件名
这个 libkcapi (Linux 内核加密 API)软件包的更新引进了新选项 -T,用来在哈希和计算中指定目标文件名。这个选项的值覆盖了处理的 HMAC 文件中指定的文件名。您只能通过 -c 选项来使用这个选项,例如:
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15298[1]
使用 crypto-policies 对 SSH 中的 MAC 进行精细控制
现在,您可以在系统范围的加密策略(crypto-policies)中为 SSH 协议的消息验证代码(MAC)设置其它选项。有了此更新,crypto-policies 选项 ssh_etm 已转换为三状态 etm@SSH 选项。之前的 ssh_etm 选项已弃用。
现在,您可以将 ssh_etm 设置为以下值之一:
ANY-
允许
encrypt-then-mac和encrypt-and-macMAC。 DISABLE_ETM-
不允许
encrypt-then-macMAC。 DISABLE_NON_ETM-
不允许不使用
encrypt-then-mac的 MAC。
请注意,始终允许使用隐式 MAC 的密码,因为它们使用经过身份验证的加密。
semanage fcontext 命令不再对本地修改进行重新排序
semanage fcontext -l -C 命令列出存储在 file_contexts.local 文件中的本地文件上下文修改。restorecon 工具处理 file_contexts.local 中从最新到最旧的条目。以前,semanage fcontext -l -C 以不正确的顺序列出条目。处理顺序和列表顺序之间的不匹配导致管理 SELinux 规则时出现问题。有了此更新,semanage fcontext -l -C 以正确和预期的顺序,显示从最旧到最新的规则。
Jira:RHEL-24462[1]
SELinux 策略中限制的其他服务
此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中:
-
nvme-stas -
realmd -
rust-afterburn -
rust-coreos-installer
因此,这些服务不会再使用 unconfined_service_t SELinux 标签运行,并可在 SELinux enforcing 模式下成功运行。
Jira:RHEL-12591[1]
OpenSSL 的 fips.so 库作为单独的软件包提供
OpenSSL 使用 fips.so 共享库作为 FIPS 提供者。有了此更新,提交给美国国家标准与技术研究所(NIST)进行认证的 fips.so 的最新版本在单独的软件包中,以确保 OpenSSL 的未来版本使用经过认证的代码或正在进行认证的代码。
Jira:RHEL-23474[1]
OpenSSL 为提供者配置添加了一个补充目录
OpenSSL TLS 工具包为提供加密算法的模块的安装和配置支持提供者 API 。有了此更新,您可以将特定于提供者的配置放在 /etc/pki/tls/openssl.d 目录下的单独 .conf 中,而无需不修改主 OpenSSL 配置文件。
p11-kit 软件包 rebase 到 0.25.3
p11-kit 软件包已更新至上游版本 0.25.3。软件包包含用来管理 PKCS#11 模块的 p11-kit 工具、用来对信任策略存储进行操作的 trust 工具,以及 p11-kit 库。主要改进包括:
- 添加了对 PKCS#11 版本 3.0 的支持
pkcs11.h头文件:- 添加了 ChaCha20/Salsa20、Poly1305 和特定于 IBM 的机制和属性
- 为基于消息的加密添加了 AES-GCM 机制参数
p11-kit工具:-
添加了列出和管理令牌的对象(
list-tokens、list-mechanisms、list-objects、import-object、export-object、delete-object和generate-keypair)的工具命令 -
添加了管理令牌的 PKCS#11 配置文件(
list-profiles、add-profile和delete-profile)的工具命令 -
添加了打印合并配置的
print-config命令
-
添加了列出和管理令牌的对象(
trust工具:-
添加了验证
.p11-kit文件格式的check-format命令
-
添加了验证
Jira:RHEL-14834[1]
libkcapi rebase 到 1.4.0
libkcapi 库,其提供对 Linux 内核加密 API 的访问,已 rebase 到上游版本 1.4.0。这个更新包括各种改进和 bug 修复,最重要的是:
-
添加了
sm3sum和sm3hmac工具。 -
添加了
kcapi_md_sm3和kcapi_md_hmac_sm3API。 - 添加了 SM4 便利功能。
- 修复了对链接时间优化(LTO)的支持。
- 修复了 LTO 回归测试。
-
修复了使用
kcapi-enc对任意大小的 AEAD 加密的支持。
Jira:RHEL-5367[1]
OpenSSH 中的用户和组创建使用 sysusers.d 格式
之前,OpenSSH 使用静态 useradd 脚本。有了此更新,OpenSSH 使用 sysusers.d 格式来声明系统用户,这使得反省系统用户成为可能。
OpenSSH 在身份验证中限制人工延迟
OpenSSH 在登录失败后的响应是人工延迟,以防止用户枚举攻击。在这个版本中,在远程身份验证用时(例如在特权访问管理(PAM)处理中)时,对此类延迟引入了一个上限。
Jira:RHEL-2469[1]
Stunnel rebase 到 5.71
stunnel TLS/SSL 隧道服务已 rebase 到上游版本 5.71。
主要新功能包括:
- 添加了对现代 PostgreSQL 客户端的支持。
-
您可以使用
protocolHeader服务级别选项插入自定义连接协议协商标头。 -
您可以使用
protocolHost选项控制客户端 SMTP 协议协商 HELO/EHLO 值。 -
添加了对客户端
协议的客户端支持 = ldap。 -
现在,您可以使用服务级别的
sessionResume选项配置会话恢复。 -
添加了对使用
CApath在服务器模式中请求客户端证书的支持(以前,只支持CAfile)。 - 改进了文件读取和日志记录性能。
-
添加了对
重试选项可配置延迟的支持。 -
在客户端模式中,在设置
verifyChain时请求和验证 OCSP 错误。 - 在服务器模式中,会始终提供 OCSP stapling。
-
不预期的 OCSP 验证会破坏 TLS 协商。您可以通过设置
OCSPrequire = no来禁用此功能。
Jira:RHEL-2468[1]
Rsyslog 中丢弃功能的新选项
现在,您可以使用以下全局选项在丢弃功能时配置 Rsyslog 的行为:
libcapng.default-
决定在丢弃功能时遇到错误时的 Rsyslog 的操作。默认值为
on,如果与libcapng 相关的错误发生,则会导致 Rsyslog 退出。 libcapng.enable-
决定在启动过程中 Rsyslog 丢弃功能。如果禁用了这个选项,
libcapng.default不会影响。
Jira:RHEL-943[1]
audit rebase 到 3.1.2
Linux Audit 系统已更新至版本 3.1.2,与之前发布的版本 3.0.7 相比,它提供了 bug 修复、功能增强和性能改进。主要改进包括:
-
auparse库现在解释未命名和匿名套接字。 -
您可以在
ausearch和aureport工具的start和end选项中使用新关键字this-hour。 -
添加了对
io_uring异步 I/O API 的支持。 -
在
auditctl程序中添加了用户友好的信号关键字。 -
改进了处理
auparse中的损坏日志。 -
现在,在
auditd服务中默认禁用ProtectControlGroups选项。 - 修复了对 exclude 过滤器的规则检查。
-
OPENAT2字段的解释已被改进。 -
audispd af_unix插件已移到独立程序。 - Python 绑定已被修改,以防止从 Python API 设置审计规则。这个更改是由 Simplified Wrapper 和 Interface Generator (SWIG)中的一个错误造成的。
Jira:RHEL-14896[1]
rsyslog rebase 到 8.2310
Rsyslog 日志处理系统已 rebase 到上游版本 8.2310。这个版本引入了重要的改进和程序错误修复。最显著的改进包括:
- 可自定义的 TLS/SSL 加密设置
-
在以前的版本中,为单独的连接配置 TLS/SSL 加密设置仅限于全局设置。使用最新版本,您可以在 Rsyslog 中为每个连接定义唯一的 TLS/SSL 设置。这包括指定不同的 CA 证书、私钥、公钥和 CRL 文件,以提高安全性和灵活性。有关详细信息和用法,请参阅
rsyslog-doc软件包中提供的文档。 - 优化的能力丢弃功能
-
现在,您可以设置与功能丢弃相关的附加选项。您可以通过将
libcapng.enable全局选项设置为off来禁用功能丢弃。如需更多信息,请参阅 RHEL-943。
Jira:RHEL-937, Jira:RHEL-943
SCAP 安全指南 rebase 到 0.1.72
SCAP 安全指南(SSG)软件包已更新到上游版本 0.1.72。此版本提供程序错误修正和各种改进,最重要的是:
- CIS 配置文件已更新,使其与最新的基准一致。
- PCI DSS 配置集与 PCI DSS 策略版本 4.0 一致。
- STIG 配置文件与最新的 DISA STIG 策略一致。
如需更多信息,请参阅 SCAP 安全指南发行注记。
