8.7. 安全性
在所有配置中,Libreswan 无法正常工作 seccomp=enabled
Libreswan SECCOMP 支持实现中允许的一组系统调用当前还不完整。因此,当在 ipsec.conf 文件中启用了 SECCOMP 时,syscall 过滤会拒绝 pluto 守护进程正常工作所需的 syscalls;守护进程被终止,ipsec 服务也会重启。
要临时解决这个问题,将 seccomp= 选项设置为 disabled 状态。SECCOMP 支持必须保持禁用才能正确运行 ipsec。
对 RSA-PSS 不支持 RSA-PSS 的设备不能与 TLS 1.3 一起使用
TLS 协议版本 1.3 需要 RSA-PSS 签名,不受所有 PKCS the 设备的支持,如硬件安全模块(HSM)或智能卡。目前,在处理 TLS 1.3 前,使用 NSS 的服务器应用程序不会检查 PKCS the 模块功能。因此,尝试使用不支持 RSA-PSS 的 PKCS the 设备进行身份验证。要临时解决这个问题,请使用 TLS 1.2。
TLS 1.3 在 FIPS 模式下无法在 NSS 中工作
在以 FIPS 模式工作的系统中不支持 TLS 1.3。因此,在以 FIPS 模式工作的系统中,需要 TLS 1.3 进行互操作性的连接无法正常工作。
要启用连接,请禁用系统的 FIPS 模式,或者在 peer 中启用对 TLS 1.2 的支持。
(BZ#1710372)
OpenSCAP 意外访问远程文件系统
OpenSCAP 扫描程序无法正确检测扫描的文件系统是挂载的远程文件系统还是本地文件系统,检测部分也会包含其他 bug。因此,扫描程序会读取挂载的远程文件系统,即使评估的规则只适用于本地文件系统,且可能会在远程文件系统中生成不需要的流量。
要临时解决这个问题,请在扫描前卸载远程文件系统。另一种选择是通过提供定制文件从评估的配置集中排除受影响的规则。
