6.2. 安全性

从 OpenSSL EC 签名中删除非保证时间代码路径

在以前的版本中，OpenSSL 为 Elliptic Curve Digital Signature Algorithm (ECDSA)签名使用非保证时间代码路径。这可能会向与 Minerva 攻击类似的攻击公开签名操作，并可能会发现私钥。在这个版本中，删除了 OpenSSL EC 签名中的非保证时间代码路径，因此不再存在此漏洞。

SELinux 策略可以正确地标记 npm

在以前的版本中，npm 服务可执行文件使用通用 lib_t SELinux 类型标记。因此，无法执行 npm。在这个版本中，npm 可执行文件在 SELinux 策略中明确标记，类型为 bin_t。因此，npm 服务成功启动，并在 unconfined_service_t 域中运行。

SELinux 策略为 sysadm_r 用户添加规则，通过 sudo定义输入/输出日志目录

在以前的版本中，当 sudo 配置中定义了 iolog_dir 选项时，SELinux 策略不包含允许受限管理员运行任何命令的输入/输出日志目录的规则。因此，sysadm_r 角色中的受限管理员无法通过使用带有 iolog_dir 选项的 sudo 来执行命令。在这个版本中，在 SELinux 策略中添加了一个规则，因此 sysadm_r 用户可以通过使用带 iolog_dir 的 sudo 来执行命令。

现在，在引导过程中可以正确载入 /proc 的审计规则

在此次更新之前，系统在引导阶段无法为 /proc 目录加载审计监视规则。因此，管理员必须稍后手动加载规则，并且在引导过程中不会应用这些规则。这个程序错误已被解决，系统现在会在引导阶段载入与 /proc 相关的审计规则。

在不可变模式中进行审计不再阻止 auditd 启动

在以前的版本中，如果审计系统通过添加 2 规则设置为不可变模式，则 augenrules 命令会以返回代码 1 退出，而不是 0，在重启 auditd 服务或运行 augenrules --load 命令时退出。因此，系统会将 1 的返回代码解释为错误，这会阻止它在引导时启动 auditd。在这个版本中，当审计设置为不可变模式时，augenrules 以零返回代码退出，且系统可以在这种情况下正确启动 auditd。

IPsec ondemand 连接不再无法建立

在以前的版本中，当使用 TCP 协议设置了带有 ondemand 选项的 IPsec 连接时，连接无法建立。在这个版本中，新的 Libreswan 软件包确保初始 IKE 协商通过 TCP 完成。因此，Libreswan 成功建立连接，即使在 IKE 协商的 TCP 模式中。

update-ca-trust extract 不再无法提取带有长名称的证书

从信任存储中提取证书时，信任 工具内部从证书的对象标签生成文件名。对于足够长的标签，生成的路径可能已超过系统的最大文件名长度。因此，信任 工具无法创建带有超过系统最大文件名长度的文件。在这个版本中，派生的名称始终被截断为 255 个字符内。因此，当证书的对象标签太长时，文件创建不会失败。