8.5. 安全

OpenSCAP 补救为 /etc/tmux.conf 设置正确的权限

在以前的版本中，当重新修复 SCAP 规则 configure_tmux_lock_after_time 时，/etc/tmux.conf 文件是使用与 umask (600)相关的权限创建的。这会导致 /etc/tmux.conf 对常规用户不可读。如果常规用户登录，它们会收到一条错误消息，必须在超时到期前等待几分钟，然后才能登录。有了这个更新，规则 configure_tmux_lock_after_time 的修复将 /etc/tmux.conf 的特定权限设为 644。因此，常规用户不会再遇到错误消息或登录延迟。

Rsyslog 的 SCAP 规则可以正确识别 .conf 文件

在以前的版本中，规则"确保系统日志文件拥有正确的权限" (xccdf_org.ssgproject.content_rule_rsyslog_files_permissions)没有在 Rsyslog include 语句中扩展 glob 表达式。因此，该规则没有解析所有相关配置文件，有些日志文件没有检查它们的权限。有了这个更新，该规则可以正确地扩展 glob 表达式，以识别它需要解析的 .conf 文件。现在，该规则可以正确地处理所需的 .conf 文件，以确保所有配置的日志文件都有正确的权限。

chronyd 的规则不需要显式的 chrony 用户配置

RHEL 默认在 chrony 用户下运行 chronyd。在以前的版本中，chronyd 服务配置用户的检查和修复过于严格。过于严格的检查导致误报和过度的补救。在这个版本中，规则 xccdf_org.ssgproject.content_rule_chronyd_run_as_chrony_user 的检查和补救会更新,以便最低限度的正确配置和传统的显式正确配置可以通过。因此，规则尊重默认的 RHEL 行为，不需要显式的 chrony 用户配置。

警告添加到 rsyslog_remote_loghost 中

SCAP 规则 xccdf_org.ssgproject.content_rule_rsyslog_remote_loghost 确保 Rsyslog 守护进程被配置为将日志消息发送到远程日志主机。但是，该规则没有配置 TCP 队列。因此，如果没有配置 TCP 队列，系统会挂起，远程日志主机变得不可用。这个更新添加了一条警告消息，解释了如何配置 TCP 队列。如果您在使用这个规则时遇到系统挂起，请读取警告并正确配置系统。

sudo_custom_logfile 的修复也适用于自定义 sudo 日志文件

在以前的版本中，SCAP 安全指南规则 xccdf_org.ssgproject.content_sudo_custom_logfile 的修复不适用于与 /var/log/sudo.log 不同路径的自定义 sudo 日志文件。有了这个更新，规则已被修复，如果系统有一个与预期路径不匹配的自定义的 sudo 日志文件，则该规则可以正确修复。

firewalld_sshd_port_enabled 的修复现在可以正常工作

在以前的版本中，SCAP 规则 xccdf_org.ssgproject.content_rule_firewalld_sshd_port_enabled 的 Bash 修复会错误地处理网络接口列表。另外，配置文件的名称与所需名称不同。这个更新已修复了补救。因此，补救可以正确地处理所有网络接口，配置文件有可预测的名称。

fagenrules --load 现在可以正常工作

在以前的版本中，fapolicyd 服务无法正确处理信号挂起(SIGHUP)。因此，在收到 SIGHUP 信号后 fapolicyd 会终止，fagenrules --load 命令无法正常工作。此更新包含了对此问题的修复。因此，fagenrules --load 现在可以正常工作，规则更新不再需要手动重启 fapolicyd。