4.11. 安全性
SCAP 安全指南现在 提供 OSPP 4.2.1 和 NCP 配置集
OSPP(通用操作系统检测配置集)配置集已更新,现在它符合 OSPP 4.2.1 基准。带有 ospp42 ID 的配置集已合并到 OSPP 配置集。管理员应该使用 ospp42 配置集将系统切换到 ospp,因为 ospp42 不再是有效的 ID。
另外,引入了带有 ncp ID 的 NCP (NIST National Checklist Program Security Guide)配置文件。NCP 配置集符合 OSPP 4.2.1 并实现附加策略的配置要求。特别是 CNSSI 1253、NIST 800-171、NIST 800-53、USGCB 和 OS SRG。
SCAP 安全指南现在支持 ACSC Esential Eight
scap-security-guide 软件包现在提供澳大利亚网络安全中心(ACSC) Essential Eight 合规性配置文件和对应的 Kickstart 文件。在这个改进中,用户可以安装一个符合这个安全基点的系统。另外,您可以使用 OpenSCAP 套件检查安全合规性,并使用 ACSC 定义的最低安全控制规格进行补救。
SCAP 安全指南 现在正确地禁用了服务
有了这个更新,SCAP 安全指南( SSG)配置文件正确地禁用和屏蔽了不应该启动的服务。这可保证,禁用的服务不会意外地作为另一个服务的依赖项启动。在此更改前,SSG 配置集,如 U.S.Government Commercial Cloud Services(C2S)配置集会禁用服务。因此,除非您已取消了服务屏蔽,否则无法启动被 SSG 配置集禁用的服务。
SCAP 安全指南 rebase 到版本 0.1.46
SCAP 安全指南 (SSG)软件包已升级至 0.1.46 版本,它比之前的版本提供改进和程序错误修复,最重要的是:
- SSG 现在提供符合 SCAP 1.3 标准的内容。1.3 数据流与 OpenSCAP 兼容并被默认使用。
请注意,如果您需要使用 SCAP 1.2 数据流,您仍然可以使用带有 -1.2 后缀的内容,因为此数据移至 "/usr/share/xml/scap/ssg/content/ssg-rhel7-ds-1.2.xml" 路径。新的 1.3 数据流位于正常的路径中。
SCAP 安全指南现在支持从 RHEL 7 中扫描 RHEL 8 系统
scap-security-guide 软件包现在包含 RHEL 8 的 SCAP 内容和 Ansible playbook。这可让您从 RHEL 7 环境中扫描 RHEL 8 系统和容器。
selinux-policy 现在允许 tomcat 进程连接到 redis 数据库
这个 selinux-policy 软件包更新引入了规则,在启用了 tomcat_can_network_connect_db SELinux 布尔值时,允许 tomcat_t 域连接到标记为 redis_port_t 的端口。现在,您可以使用这个布尔值来允许 tomcat_t 访问多个数据库,之前不支持 redis 进程。
(BZ#1687497)
sysadm_u 用户现在可以登录到图形会话
在以前的版本中,映射到 sysadm_u SELinux 用户的 Linux 用户无法登录到图形会话。SELinux 策略已被更新,允许这些用户在符合 DISA STIG 要求的情况下使用图形会话。如果启用了 xdm_sysadm_login 布尔值,则 sysadm_u 用户现在可以从 GNOME 显示管理器成功登录到 X Window 系统会话。
