10.2. 安全性
在漏洞扫描应用程序中弃用了 OVAL
开放漏洞评估语言(OVAL)数据格式(提供由 OpenSCAP 套件处理的声明安全数据)已被弃用,并将在以后的主发行版本中删除。红帽将继续以通用安全公告框架(CSAF)格式提供声明的安全数据,这是 OVAL 的后续者。
Jira:RHELDOCS-17532[1]
libgcrypt 已被弃用
libgcrypt 软件包提供的 Libgcrypt 加密库已弃用,并可能在以后的主发行版本中删除。反之,使用 RHEL 核心加密组件 中列出的库(Red Hat Knowledgebase)。
Jira:RHELDOCS-17508[1]
fips-mode-setup 已被弃用
将系统切换到 FIPS 模式的 fips-mode-setup 工具在 RHEL 9 中弃用。您仍然可以使用 fips-mode-setup 命令检查是否启用了 FIPS 模式。
要运行符合 FIPS 140 的系统,请使用以下方法之一在 FIPS 模式中安装系统:
-
在 RHEL 安装过程中,将
fips=1选项添加到内核命令行中。如需更多信息,请参阅 RHEL 安装程序引导选项 文档中的 编辑引导选项 一章。 -
通过将
fips=yes指令添加到蓝图的[customizations]部分,使用 RHEL 镜像构建器创建启用了 FIPS 的镜像。 -
使用
bootc-image-builder工具创建磁盘镜像或使用bootc install-to-disk工具安装系统,该工具遵循 RHEL 文档中的 使用镜像模式的示例来添加fips=1内核命令行标志,并将系统范围的加密策略切换到FIPS。https://docs.redhat.com/en/documentation/red_hat_enterprise_linux/9/html/using_image_mode_for_rhel_to_build_deploy_and_manage_operating_systems/enabling-the-fips-mode-while-building-a-bootc-image#enabling-the-fips-mode-by-using-bootc-image-builder-tool_enabling-the-fips-mode-while-building-a-bootc-image
fips-mode-setup 工具将在下一个主发行版本中删除。
使用 update-ca-trust 没有参数已弃用
在以前的版本中,无论输入的参数如何,命令 update-ca-trust 都会更新系统证书颁发机构(CA)存储。在这个版本中引进了 extract 子命令,以更新 CA 存储。您还可以使用- output 参数指定提取 CA 证书的位置。为了与早期版本的 RHEL 兼容,请输入 update-ca-trust 来使用除 -o 或- help 以外的任何参数更新 CA 存储,甚至没有任何参数,在 RHEL 9 期间仍被支持,但将由下一个主发行版本删除。更新您对 update-ca-trust 提取的调用。
Jira:RHEL-54695[1]
指向 Stunnel 客户端中可信根证书文件的 CAfile 已被弃用
如果以客户端模式配置了 Stunnel,则 CAfile 指令可指向包含 BEGIN TRUSTED CERTIFICATE 格式的可信根证书的文件。这个方法已弃用,并可能在以后的主发行版本中删除。在以后的版本中,stunnel 会将 CAfile 指令的值传递给不支持 BEGIN TRUSTED CERTIFICATE 格式的函数。因此,如果您使用 CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt,请将位置改为 CAfile = /etc/pki/tls/certs/ca-bundle.crt。
Jira:RHEL-52317[1]
NSS 中弃用了 DSA 和 SEED 算法
数字签名算法(DSA)由美国国家标准和技术研究院(NIST)创建,现在由 NIST 完全弃用,在网络安全服务(NSS)加密库中已弃用。您可以使用 RSA、ECDSA、SHB-DSA、ML-DSA 和 FN-DSA 等算法。
SEED 算法由 Korea Information Security Agency (KISA)创建,之前在 NSS 加密库中已弃用。
Jira:RHELDOCS-19004[1]
pam_ssh_agent_auth is deprecated
pam_ssh_agent_auth 软件包已弃用,并可能在以后的主发行版本中删除。
Jira:RHELDOCS-18312[1]
compat-openssl11 已被弃用
OpenSSL 1.1 的兼容性库 compat-openssl11 现已弃用,它可能在以后的主发行版本中删除。OpenSSL 1.1 不再维护使用 OpenSSL TLS 工具包的上游和应用程序,应该迁移到版本 3.x。
Jira:RHELDOCS-18480[1]
SHA-1 在 OpenSSL 中的 SECLEVEL=2 中被弃用
在 SECLEVEL=2 中使用 SHA-1 算法已在 OpenSSL 中弃用,并可能在以后的主发行版本中删除。
Jira:RHELDOCS-18701[1]
在 Stunnel 中弃用了 OpenSSL Engines API
在 Stunnel 中使用 OpenSSL Engine API 已被弃用,并将在以后的主发行版本中删除。最常见的用途是通过 openssl-pkcs11 软件包访问使用 PKCSxdg 的硬件安全令牌。作为替换,您可以使用 pkcs11-provider,它使用新的 OpenSSL 提供程序 API。
Jira:RHELDOCS-18702[1]
OpenSSL Engine 已被弃用
OpenSSL Engine 已被弃用,并将在不久的将来被删除。您可以使用 pkcs11-provider 作为替换,而不是使用引擎。
Jira:RHELDOCS-18703[1]
DSA 在 GnuTLS 中已弃用
数字签名算法(DSA)在 GnuTLS 安全通信库中已弃用,并将在以后的 RHEL 主版本中删除。DSA 之前由美国国家标准与技术研究院(NIST)弃用,并且不被视为安全。您可以使用 ECDSA 来确保与将来的版本兼容。
Jira:RHELDOCS-19224[1]
scap-workbench 已被弃用
scap-workbench 软件包已弃用。scap-workbench 图形实用程序设计为在单个本地或远程系统上执行配置和漏洞扫描。作为替代方案,您可以使用 命令扫描本地系统以进行配置合规性。如需更多信息,请参阅配置合规性扫描。
oscap -ssh
Jira:RHELDOCS-19028[1]
oscap-anaconda-addon 已被弃用
oscap-anaconda-addon 提供了使用图形安装部署符合基准的 RHEL 系统的方法已弃用。作为替代方案,您可以通过使用 RHEL 镜像构建器 OpenSCAP 集成创建预先强化的镜像来构建符合特定标准的 RHEL 镜像。
Jira:RHELDOCS-19029[1]
对于加密目的,SHA-1 已被弃用
使用 SHA-1 消息摘要用于加密目的在 RHEL 9 中已被弃用。SHA-1 生成的摘要不被视为是安全的,因为已发现多个基于哈希进行的安全攻击。RHEL 核心加密组件不再默认使用 SHA-1 创建签名。RHEL 9 中的应用程序已更新,以避免在与安全相关的用例中使用 SHA-1。
其中一个例外是,仍然可以使用 SHA-1 创建 HMAC-SHA1 消息验证代码和 Universal Unique Identifier(UUID)值,因为这些用例目前不存在安全风险。另外,为了保持一些重要的互操作性和兼容性,SHA-1 还会在一些有限的情况下使用,例如 Kerberos 和 WPA-2。详情请查看 RHEL 9 安全强化文档中的使用与 FIPS 140-3 不兼容的加密系统的 RHEL 应用程序列表。
如果您需要使用 SHA-1 来验证现有或第三方加密签名,您可以输入以下命令启用它:
# update-crypto-policies --set DEFAULT:SHA1
或者,您可以将系统范围的加密策略切换到 LEGACY 策略。请注意,LEGACY 也启用了其他一些不安全的算法。
Jira:RHELPLAN-110763[1]
fapolicyd.rules 已被弃用
包含允许和拒绝执行规则的文件的 /etc/fapolicyd/rules.d/ 目录替代了 /etc/fapolicyd/fapolicyd.rules 文件。fagenrules 脚本现在将此目录中的所有组件规则文件合并到 /etc/fapolicyd/compiled.rules 文件。/etc/fapolicyd/fapolicyd 中的规则仍由 fapolicyd 框架处理,但只是为了保证向后兼容。
在 RHEL 9 中弃用 SCP
安全复制协议(SCP)已弃用,因为它有已知的安全漏洞。SCP API 仍可用于 RHEL 9 生命周期,但使用它可以降低系统安全性。
-
在
scp实用程序中,默认情况下,SCP 被 SSH 文件传输协议(SFTP)替代。 - OpenSSH 套件在 RHEL 9 中不使用 SCP。
-
SCP 在
libssh库中已弃用。
Jira:RHELPLAN-99136[1]
OpenSSL 需要在 FIPS 模式下对 RSA 加密进行填充
OpenSSL 在 FIPS 模式下不再支持没有填充的 RSA 加密。没有填充的 RSA 加密不常见,很少使用。请注意,带有 RSA (RSASVE)的密钥封装不使用填充,但仍支持。
openssl 弃用了 Engines API
OpenSSL 3.0 TLS 工具包弃用了 Engines API。引擎接口被提供方 API 替代。将应用程序和现有引擎迁移到提供方正在进行。弃用的引擎 API 可能会在以后的主发行版本中删除。
Jira:RHELDOCS-17958[1]
openssl-pkcs11 现已弃用
作为已弃用的 OpenSSL 引擎正在迁移到提供方 API 的一部分,pkcs11-provider 软件包替换了 openssl-pkcs11 软件包(engine_pkcs11)。openssl-pkcs11 软件包现已弃用。openssl-pkcs11 软件包可能在以后的主发行版本中删除。
Jira:RHELDOCS-16716[1]
RHEL 8 和 9 OpenSSL 证书和签名容器现已弃用
红帽生态系统目录中的 ubi8/openssl 和 ubi9/openssl 存储库中提供的 OpenSSL 可移植证书和签名容器用于需求低现已弃用。
Jira:RHELDOCS-17974[1]
SASL 中的 digest-MD5 已被弃用
Simple Authentication Security Layer(SASL)框架中的 Digest-MD5 身份验证机制已弃用,并可能在以后的主发行版本中从 cyrus-sasl 软件包中删除。
Bugzilla:1995600[1]
/etc/system-fips 现已弃用
支持通过 /etc/system-fips 文件指定 FIPS 模式,该文件将不会包含在将来的 RHEL 版本中。要在 FIPS 模式中安装 RHEL,请在系统安装过程中将 fips=1 参数添加到内核命令行。您可以通过显示 /proc/sys/crypto/fips_enabled 文件来检查 RHEL 是否以 FIPS 模式运行。
Jira:RHELPLAN-103232[1]
libcrypt.so.1 现已弃用
libcrypt.so.1 库现已弃用,它可能会在以后的 RHEL 版本中删除。
