3.2. 安全性

pcsd 现在提供- -disable-polkit 选项

在这个版本中，您可以使用-- disable-polkit 选项启动 pcsd 服务来关闭 PolicyKit 授权框架。在没有 polkit 的情况下运行 pcsd 可启用在有限的环境中访问 PKCSGRESS 设备，如初始 RAM 磁盘。因此，Clevis 解密客户端可以在引导时自动解锁 LUKS 加密卷。

SSH 现在提供了一个链接，其中包含有关 SSH 登录错误消息的更多详情

如果出现早期错误，ssh 命令行工具会提供一个到红帽客户门户网站页面的链接，其中包含有关常见错误消息和解决问题的步骤的更多详情。这有助于在使用交互模式时对 SSH 登录问题进行故障排除。

PKCS-tool 现在显示对象 URI

在这个版本中，pkcs11-tool -L 和 pkcs11-tool -O 命令会在输出中包含 uri: 字段。在配置 pkcs11 Clevis pin 时，您可以使用 URI 信息来自动解锁 LUKS 加密驱动器。

CBC 密码现在可以在 crypto-policies中阻止

在这个版本中，crypto-policies 使用 openssl -CBC CipherString 指令。因此，如果在 crypto-policies 中都没有启用 CBC 密码套件，则 OpenSSL 中会禁用 CBC 密码套件。

nettle rebase 到 3.10.1

nettle 库软件包已更新至上游版本 3.10.1。此版本提供各种 bug 修复、优化和增强，最重要的是：

rsyslog rebase 到 8.2412.0

rsyslog 软件包已更新到 RHEL 9.6 中的上游版本 8.2412.0。除了其他修复和增强，您可以将规则集绑定到 imjournal 模块。通过这种优化，可以在输入阶段过滤和处理日志消息，这减少了主消息队列上的负载。这可最小化资源利用率，并确保更顺畅地处理高容量日志。

OpenSCAP rebase 到 1.3.12

OpenSCAP 软件包已更新到上游版本 1.3.12。这个版本提供程序错误修正和各种改进。如需更多信息，请参阅 OpenSCAP 发行注记。

clevis rebase 到版本 21，支持 PKCS modprobe

clevis 软件包已升级到版本 21。此版本包含很多改进和程序错误修复，特别是：

新的 Keylime 策略管理工具

新的 keylime-policy 工具集成 Keylime 运行时策略的所有管理任务，并测量引导策略并改进生成策略的性能。

SELinux 为 /dev/hfi1_0分配特定类型的

在这个版本中，hfi1_device_t 类型被分配给 SELinux 策略中的 /dev/hfi1_0 设备。因此，SELinux 可以正确控制对该设备的访问。

SELinux 策略中限制的其他服务

此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中：

SCAP 安全指南 rebase 到 0.1.76

如需更多信息，请参阅 SCAP 安全指南发行注记。

Keylime 需要 HTTPS 进行吊销通知

Keylime 组件需要使用更安全的 HTTPS 协议来撤销通知 Webhook，而不是 HTTP。因此，Keylime verifier 现在需要撤销通知 Webhook 服务器 CA 证书。您可以将其添加到 trusted_server_ca 配置选项中，或者将其添加到系统信任存储中。