6.5. 安全性
递归依赖关系不再导致 OpenSCAP 崩溃
由于 systemd 单元可能具有依赖的单元,因此 OpenSCAP 扫描可能会遇到导致扫描意外终止的松散依赖关系。在这个版本中,OpenSCAP 不再分析之前处理过的单元。现在,即使依赖关系较低,也会使用有效结果扫描完成。
OpenSCAP 扫描程序结果不再包含很多 SELinux 上下文错误消息
在以前的版本中,OpenSCAP 扫描程序记录了无法在 ERROR 级别获得 SELinux 上下文,即使它不是真正的错误。因此,扫描器结果包含大量 SELinux 上下文错误消息,以及 Theoscap 命令行实用程序和 SCAP Workbench 图形实用程序输出都很难被读取。已修复 openscap 软件包,扫描程序结果不再包含大量 SELinux 上下文错误消息。
audit_rules_privileged_commands 现在可以在特权命令中正常工作
解决 scap-security-guide 软件包中的 audit_rules_privileged_commands 规则在解析命令名称时没有考虑特殊的情况。另外,某些规则的顺序可能会阻止成功进行补救。因此,修复某些规则组合报告它们已被修复,但连续扫描会再次报告规则失败。这个版本改进了规则和规则顺序中的正则表达式。因此,在修复后,所有特权命令都会正确修正。
更新了 SCAP 安全指南中的规则描述
因为无法针对所有支持的 RHEL 版本可靠确定默认内核参数,所以检查内核参数设置始终需要显式配置。在配置指南中,存在一个错误信息,它错误地声明在默认版本兼容时不需要显式设置。在这个版本中,scap-security-guide 软件包中的规则描述正确描述了合规性评估以及相应的补救。
configure_firewalld_rate_limiting 现在正确速率限制连接
configure_firewalld_rate_limiting 规则用于防止系统遭受服务 Denial of Service(DoS)攻击,之前将系统配置为接受所有流量。在这个版本中,在修复此规则后,系统可以正确地进行速率限制连接。
dconf_gnome_login_banner_text 不再错误地失败
修复之前扫描失败后 scap-security-guide 软件包中的 dconf_gnome_login_banner_text 规则。因此,补救无法正确更新登录标题配置,这与预期结果不一致。在这个版本中,Bash 和 Ansible 修复更为可靠,并且与采用 OVAL 标准实施的配置检查一致。因此,补救现在可以正常工作,规则会在补救后正常通过。
scap-security-guide Ansible 补救不再包含 以下参数
在此更新之前,scap-security-guide Ansible 补救可以在 replace 模块中包含 follow 参数。由于 Ansible 2.5 中已弃用,因此使用此类补救时将删除 Ansible 2.10 中,因此请使用这样的补救会导致错误。随着 RHBA-2021:1383 公告的发布,该参数已被删除。因此,scap-security-guide 的 Ansible playbook 可以在 Ansible 2.10 中正常工作。
如果没有安装 postfix,则特定于 Postfix 的规则不再失败
在以前的版本中,SCAP 安全指南(SSG)独立于系统中安装的 postfix 软件包评估了特定于 Postfix 的规则。因此,SSG 报告特定于 Postfix 的规则 失败,而不是 不可应用。随着 RHBA-2021:4781 公告的发布,SSG 仅在安装 postfix 软件包时正确评估 Postfix 特定的规则,如果 未安装 postfix 软件包,则报告不可用。
服务禁用规则不再模糊
在以前的版本中,SCAP 安全指南中的 Service Disabled 类型的规则描述提供了禁用和屏蔽服务的选项,但没有指定用户是否应该禁用该服务,或将其屏蔽。
随着 RHBA-2021:1383 公告的发布,规则描述、补救和 OVAL 检查已一致,并告知用户必须屏蔽服务才能禁用它。
修复了 scap-security-guide GNOME dconf 规则的 Ansible 补救
在以前的版本中,Ansible 修复一些涵盖 GNOME dconf 配置系统的规则与对应的 OVAL 检查不一致。因此,Ansible 会错误地修复以下规则,在后续扫描中将其标记为 失败 :
-
dconf_gnome_screensaver_idle_activation_enabled -
dconf_gnome_screensaver_idle_delay -
dconf_gnome_disable_automount_open
随着 RHBA-2021:4781 公告中发布的更新,Ansible 正则表达式已被修复。因此,这些规则会在 dconf 配置中正确修复。
SELinux 不再阻止 PCP 重启无响应的 PMDA
在以前的版本中,SELinux 策略中没有允许 pcp_pmie_t 进程与 Performance Metric Domain Agent(PMDA)通信的规则。因此,SELinux 拒绝了 pmsignal 进程来重启无响应的 PMDA。在这个版本中,缺少的规则已添加到策略中,Performance Co-Pilot(PCP)现在可以重启无响应的 PMDA。
SELinux 不再阻止 auditd 停止或者关闭系统
在以前的版本中,SELinux 策略不包含允许 Audit 守护进程启动 power_unit_file_t systemd 单元的规则。因此,在日志磁盘分区没有剩余空间的情况下,auditd 也无法停止或关闭系统。
在这个版本中,缺少的规则被添加到 SELinux 策略中。现在,auditd 可以停止或关闭系统。
chronyd 服务现在可以在 SELinux 中执行 shell
在以前的版本中,在 chronyd _t 下运行的 chronyd 进程无法执行 chrony-helper shell 脚本,因为 SELinux 策略不允许 chronyd 执行任何 shell。在这个版本中,SELinux 策略允许 chronyd 进程运行标记为 shell _exec_t 的 shell。因此,chronyd 服务 在 Multi-Level Security(MLS)策略下成功启动。
(BZ#1775573)
Tang 可靠地更新其缓存
当 Tang 应用程序生成其密钥时(例如在第一次安装时)Tang 会更新它的缓存。在以前的版本中,这个过程不可靠,应用程序缓存无法正确更新来反映 Tang 密钥。这会导致在 Clevis 中使用 Tang pin 时出现问题,客户端显示错误消息 Key creationation key not available。在这个版本中,密钥生成和缓存更新逻辑被移到 Tang,删除文件监视依赖关系。因此,应用程序缓存在缓存更新后会处于正确的状态。
