第 6 章 安全性
在 sudoers Entries 的 sudoers Entries 中处理匹配
sudo 工具可以参考
/etc/nsswitch.conf 文件以了解 sudoers 条目,并在文件中或使用 LDAP 查找它们。在以前的版本中,当在 sudoers 条目的第一个数据库中发现匹配项时,查找操作仍会继续在其他数据库中(包括文件)中。在 Red Hat Enterprise Linux 6.4 中,向 /etc/nsswitch.conf 文件中添加一个选项,允许用户指定与 sudoers 条目匹配的数据库。这消除了查询任何其他数据库的需求;因此,在大型环境中提高了 sudoers 条目的性能。默认情况下,此行为不启用,且必须通过在所选数据库后添加 [SUCCESS=return] 字符串来配置。当在直接使用这个字符串的数据库中找到匹配项时,不会查询其他数据库。
其他密码检查 pam_cracklib
pam_cracklib 模块已更新,以添加多个新密码强度检查:
- 某些验证策略不允许包含长连续序列的密码,如 "abcd" 或 "98765"。在这个版本中,可以使用新的
maxsequence选项限制这些序列的最大长度。 pam_cracklib模块现在允许检查新密码是否包含/etc/passwd文件中的 GECOS 字段中的词语。GECOS 字段用于存储有关用户的额外信息,如用户的全名或电话号码,攻击者可以用来尝试破解密码。pam_cracklib模块现在允许通过maxrepeatclass选项在密码中指定同一类的最大连续字符数(小写、大写、数字和特殊字符)。https://bugzilla.redhat.com/show_bug.cgi?id=673398pam_cracklib模块现在支持enforce_for_root选项,该选项会对 root 帐户的新密码强制实施复杂性限制。
tmpfs Polyinstantiation 的大小选项
在具有多个 tmpfs 挂载的系统上,需要限制其大小以防止它们占用所有系统内存。PAM 已更新,在使用 tmpfs polyinstantiation 时,允许用户指定 tmpfs 文件系统挂载的最大大小(使用
/etc/namespace.conf 配置文件中的 mntopts=size= <size>
选项)。
锁定不活跃帐户
某些验证策略需要支持锁定在一定时间段内不使用的帐户。Red Hat Enterprise Linux 6.4 为
pam_lastlog 模块引入了额外的功能,它允许用户在可配置的天数后锁定帐户。
libica的新操作模式
libica 库包含一组用于访问 IBM eServer Cryptographic Accelerator (ICA)硬件的功能和工具,它已被修改,允许使用支持 Cryptographic Function (CPACF)的 Message Security Assist Extension 4 指令的新算法。对于 DES 和 3DES 块密码,现在支持以下操作模式:
- 使用 Ciphertext Stealing (CBC-CS)的 cipher Block Chaining
- 基于密码的消息身份验证代码(CMAC)
对于 AES 块密码,现在支持以下操作模式:
- 使用 Ciphertext Stealing (CBC-CS)的 cipher Block Chaining
- 带有 Cipher Block Chaining Message Authentication Code (CCM)的计数器.
- Galois/Counter (GCM)
这种复杂加密算法的加速可显著提高 IBM System z 机器的性能。
System z 的 zlib 压缩库优化和支持
zlib 库(一个通用的丢失数据压缩库)已更新,以提高 IBM System z 上的压缩性能。
回退防火墙配置
现在,如果无法应用默认配置,
iptables 和 ip6tables 服务现在提供分配回退防火墙配置的功能。如果从 /etc/sysconfig/iptables 应用防火墙规则失败,则会应用回退文件(如果存在)。回退文件名为 /etc/sysconfig/iptables.fallback,使用 iptables-save 文件格式(与 /etc/sysconfig/iptables相同)。如果回退文件的应用也失败,则没有进一步的回退。要创建回退文件,请使用标准防火墙配置工具并将文件复制到回退文件。对 ip6tables 服务使用相同的进程,仅将所有出现的 “iptables” 替换为 “ip6tables”.
