4.6. 安全性

FIPS 模式现在有针对 FIPS 140-3 的更安全的设置

内核中的 FIPS 模式设置已被调整，以符合联邦信息处理标准(FIPS) 140-3。这个更改对许多加密算法、功能和密码套件引入了严格的设置。最值得注意的是：

libreswan rebase 到 4.9

libreswan 软件包已升级到版本 4.9。与以前版本相比的显著变化包括：

SELinux 现在限制 udftools

有了这个 selinux-policy 软件包的更新，SELinux 会限制 udftools 服务。

systemd-socket-proxyd的新 SELinux 策略

由于 systemd-socket-proxyd 服务需要使用特定的资源，所以一个具有所需规则的新策略被添加到 selinux-policy 软件包中。因此，该服务在其 SELinux 域中运行。

OpenSCAP rebase 到 1.3.7

OpenSCAP 软件包已 rebase 到上游版本 1.3.7。此版本提供各种程序错误修复和增强，最重要的是：

Rsyslog 日志文件的 scap-security-guide 规则与 RainerScript 兼容

scap-security-guide 中用于检查和修复 Rsyslog 日志文件的所有权、组所有权和权限的规则现在也与使用 RainerScript 语法定义的日志文件兼容。现代系统已在 Rsyslog 配置文件中使用 RainerScript 语法，相应的规则无法识别此语法。因此，scap-security-guide 规则现在在两种可用语法中可以检查并修复 Rsyslog 日志文件的所有权、组所有权和权限。

STIG 安全配置文件更新至版本 V1R9

SCAP 安全指南中的 DISA STIG for Red Hat Enterprise Linux 8 配置文件已更新为与最新版本的 V1R9 一致。此发行版本还包括在 V1R8 中发布的更改。

RHEL 8 STIG 配置文件与基准更加一致

满足 RHEL 8 STIG 要求的四个现有规则是数据流的一部分，但之前没有包含在 STIG 配置文件中(stig 和 stig_gui)。有了这个更新，以下规则现在包含在配置文件中：

SCAP 安全指南 rebase 到 0.1.66

SCAP 安全指南(SSG)软件包已 reb ase到上游版本 0.1.66。此版本提供各种改进和程序错误修复，最重要的是：

OpenSSL 驱动程序现在可以在 Rsyslog 中使用证书链

NetstreamDriverCaExtraFiles 指令允许配置多个额外的证书颁发机构(CA)文件。有了这个更新，您可以指定多个 CA 文件，OpenSSL 库可以验证它们，这是 SSL 证书链所必需的。因此，您可以将 Rsyslog 中的证书链与 OpenSSL 驱动程序一起使用。

opencryptoki rebase 到 3.19.0

opencryptoki 软件包已 rebase 至版本 3.19.0，它提供很多改进和 bug 修复。最值得注意的是， opencryptoki 现在支持以下功能：

新的用于闲置会话终止的 SCAP 规则

新的 SCAP 规则 logind_session_timeout 已添加到用于增强和高级别的 ANSSI-BP-028 配置文件中的 scap-security-guide 软件包中。此规则使用 systemd 服务管理器的新功能，并在一定时间后终止闲置用户会话。此规则提供多个安全策略所需的健壮的空闲会话终止机制的自动配置。因此，OpenSCAP 可以自动检查与终止闲置用户会话相关的安全要求，如有必要，修复它。

fapolicyd 现在提供对 RPM 数据库的过滤

使用新的配置文件 /etc/fapolicyd/rpm-filter.conf，您可以自定义 fapolicyd 软件框架存储在信任数据库中的 RPM-database 文件的列表。这样，您可以阻止 RPM 安装的某些应用程序，或者允许被默认的配置过滤器拒绝的应用程序。