7.10. 安全性
现在可在 libreswan中启用 SECCOMP
作为技术预览,seccomp=enabled|tolerant|disabled 选项已添加到 ipsec.conf 配置文件中,因此可以使用安全计算模式(SECCOMP)。这提高了 syscall 安全性。它将 Libreswan 允许执行的所有系统调用都放入到白名单。如需更多信息,请参阅 ipsec.conf (5) 手册页。
pk12util 现在可以导入使用 RSA-PSS签名的证书
pk12util 工具现在提供导入使用 RSA-PSS 算法签名的证书作为技术预览。
请注意,如果导入了对应的私钥,并且具有 PrivateKeyInfo.privateKeyAlgorithm 字段,该字段将签名算法限制为 RSA-PSS,则在将密钥导入到浏览器时会忽略它。如需更多信息,请参阅 https://bugzilla.mozilla.org/show_bug.cgi?id=1413596。
改进了对在 certutil 中使用 RSA-PSS 签名的证书的支持
改进了对在 certutil 工具中使用 RSA-PSS 算法签名的证书的支持。主要改进和修复包括:
-
现在记录
--pss选项。 -
当证书仅限于使用
RSA-PSS时,PKKKPPP1v1.5算法不再用于自签名签名。 -
在列出证书时,
subjectPublicKeyInfo字段中的空RSA-PSS参数不再打印为无效。 -
添加了用于创建使用
RSA-PSS算法签名的常规 RSA 证书的--pss-sign选项。
对在 certutil 中 RSA-PSS 签名的证书的支持作为技术预览提供。
NSS 现在可以在证书上验证 RSA-PSS 签名
由于 RHEL 7.5 软件包的 RHEL 7.5 版本,网络安全服务 (NSS)库以技术预览形式在证书上验证 RSA-PSS 签名。在此次更新之前,使用 NSS 作为 SSL 后端的客户端无法建立到仅提供 RSA-PSS 算法签名的证书的 TLS 连接。
请注意,这个功能有以下限制:
-
/etc/pki/nss-legacy/rhel7.config文件中的算法策略设置不适用于RSA-PSS签名中使用的哈希算法。 -
RSA-PSS参数限制将被忽略,并且只考虑单个证书。
USBGuard 在屏幕锁定时启用阻塞 USB 设备作为技术预览
使用 USBGuard 框架,您可以通过设置 "InsertedDevicePolicy" 运行时参数的值来影响已在运行 usbguard-daemon 实例如何处理新插入的 USB 设备。这个功能是作为技术预览提供的,默认选择是应用策略规则来找出是否授权该设备。
请参阅 屏幕锁定的 USB 设备 知识库文章。
(BZ#1480100)
