4.4. 安全
NSS 不再支持少于 1023 位的 RSA 密钥
网络安全服务(NSS)库的更新将所有 RSA 操作的最小密钥大小从 128 改为 1023 位。这意味着 NSS 不再执行以下功能:
- 生成小于 1023 位的 RSA 密钥。
- 使用小于 1023 位的 RSA 密钥进行签名或验证 RSA 签名。
- 使用小于 1023 位的 RSA 密钥的加密或解密值。
SCAP 安全指南 rebase 到 0.1.63
SCAP 安全指南(SSG)软件包已更新到上游版本 0.1.63。此版本提供各种改进和程序错误修复,最重要的是:
-
添加了
sysctl、grub2、pam_pwquality的新合规性规则以及构建时间内核配置。 -
强化 PAM 堆栈的规则现在使用
authselect作为配置工具。注意:如果以其他方式编辑 PAM 堆栈,则通过此修改,将不会应用强化 PAM 堆栈的规则。
SSG CIS 配置文件与 CIS RHEL 8 基准 2.0.0 保持一致
SCAP 安全指南(SSG)现在包含将互联网安全中心(CIS)配置文件与 CIS Red Hat Enterprise Linux 8 基准版本 2.0.0 保持一致的更改。这个基准版本添加了新的要求,删除了不再相关的要求,并对一些现有的要求进行了重新排序。更新会影响相关规则中的引用,以及对应配置文件的准确性。
RHEL 8 STIG 配置文件现在与 DISA STIG 内容保持一致
包括在 scap-security-guide (SSG)软件包中的 Red Hat Enterprise Linux 8 的 DISA STIG 配置文件(xccdf_org.ssgproject.content_profile_stig) 可用于根据国防部信息系统(DISA)制定的安全技术实施指南(STIG)来评估系统。您可以使用 SSG 中的内容修复您的系统,但您可能需要使用 DISA STIG 自动化内容来评估您的系统。有了这个更新,DISA STIG RHEL 8 配置文件与 DISA 的内容更加一致。这会导致 SSG 修复后对 DISA 内容的发现较少。
请注意,以下规则的评估仍然有分歧:
-
SV-230264r627750_rule - CCE-80790-9 (
ensure_gpgcheck_globally_activated) -
SV-230349r833388_rule - CCE-82266-8 (
configure_bashrc_exec_tmux) -
SV-230311r833305_rule - CCE-82215-5 (
sysctl_kernel_core_pattern) -
SV-230546r833361_rule - CCE-80953-3 (
sysctl_kernel_yama_ptrace_scope) -
SV-230287r743951_rule - CCE-82424-3 (
file_permissions_sshd_private_key) -
SV-230364r627750_rule - CCE-82472-2 (
accounts_password_set_min_life_existing) -
SV-230343r743981_rule - CCE-86107-0 (
account_passwords_pam_faillock_audit)
(BZ#1967947)
如果 /tmp 和 /var/tmp 分区不存在,则挂载选项的 SSG 规则不再失败
在以前的版本中,如果系统上不存在此类分区,则 /tmp 和 /var/tmp 分区的挂载选项的 SCAP 安全指南(SSG)规则会错误地报告 失败 结果。
此增强使这些规则不适用,而不是失败。现在,只有在分区存在且系统没有正确的挂载选项时,规则才会失败。
如果这些挂载选项对于特定的策略至关重要,则那么配置文件中应该存在一条规定此类分区存在的规则,而这条规则应该失败。
STIG 安全配置文件已更新到版本 V1R7
SCAP 安全指南中的 Red Hat Enterprise Linux 8 的 DISA STIG 配置文件已更新为与最新的 V1R7 版本保持一致。
该配置文件更加稳定,并与国防信息系统局(DISA)提供的 RHEL 8 STIG (安全技术实施指南)手动基准保持一致。这个迭代带来了更新,将 sysctl 内容与新的 STIG 保持一致。
您应该只使用这个配置文件的当前版本,因为旧版本已不再有效。
自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。
clevis-luks-askpass 现在被默认启用
/lib/systemd/system-preset/90-default.preset 文件现在包含 enable clevis-luks-askpass.path 配置选项,并且 clevis-systemd 子软件包的安装确保 clevis-luks-askpass.path 单元文件被启用。这使 Clevis 加密客户端也可解锁在引导过程后期挂载的 LUKS 加密的卷。在此次更新之前,管理员必须使用 systemctl enable clevis-luks-askpass.path 命令来使 Clevis 解锁此类卷。
为 Rsyslog 错误文件添加了一个最大大小选项
使用新的 action.errorfile.maxsize 选项,您可以为 Rsyslog 日志处理系统指定错误文件的最大字节数。当错误文件达到指定大小时,Rsyslog 无法在其中写入额外的错误或其他数据。这可防止错误文件填满文件系统,并使主机不可用。
fapolicyd rebase 到 1.1.3
fapolicyd 软件包已升级到版本 1.1.3。主要改进和 bug 修复包括:
- 规则现在可以包含新的主题 PPID 属性,该属性与主题的父 PID (进程 ID)匹配。
- OpenSSL 库代替了 Libgcrypt 库,来作为哈希计算的加密引擎。
-
fagenrules --load命令现在可以正常工作。
