搜索

4.2. 安全性

download PDF

提供了 Keylime 验证器和注册器容器

现在,您可以将 Keylime 服务器组件,验证器和注册器配置为容器。当配置为在容器内运行时,Keylime 注册器监控容器中的租户系统,而主机上无需有任何二进制文件。容器部署提供更好的隔离、模块化和 Keylime 组件的可重复性。

Jira:RHELDOCS-16721[1]

libkcapi 现在提供了一个选项,用来在哈希和计算中指定目标文件名

这个 libkcapi (Linux 内核加密 API)软件包的更新引进了新选项 -T,用来在哈希和计算中指定目标文件名。这个选项的值覆盖了处理的 HMAC 文件中指定的文件名。您只能通过 -c 选项来使用这个选项,例如:

$ sha256hmac -c <hmac_file> -T <target_file>

Jira:RHEL-15298[1]

使用 crypto-policies 对 SSH 中的 MAC 进行精细控制

现在,您可以在系统范围的加密策略(crypto-policies)中为 SSH 协议的消息验证代码(MAC)设置其它选项。有了此更新,crypto-policies 选项 ssh_etm 已转换为三状态 etm@SSH 选项。之前的 ssh_etm 选项已弃用。

现在,您可以将 ssh_etm 设置为以下值之一:

ANY
允许 encrypt-then-macencrypt-and-mac MAC。
DISABLE_ETM
不允许 encrypt-then-mac MAC。
DISABLE_NON_ETM
不允许不使用 encrypt-then-mac 的 MAC。

请注意,始终允许使用隐式 MAC 的密码,因为它们使用经过身份验证的加密。

Jira:RHEL-15925

semanage fcontext 命令不再对本地修改进行重新排序

semanage fcontext -l -C 命令列出存储在 file_contexts.local 文件中的本地文件上下文修改。restorecon 工具处理 file_contexts.local 中从最新到最旧的条目。以前,semanage fcontext -l -C 以不正确的顺序列出条目。处理顺序和列表顺序之间的不匹配导致管理 SELinux 规则时出现问题。有了此更新,semanage fcontext -l -C 以正确和预期的顺序,显示从最旧到最新的规则。

Jira:RHEL-24462[1]

SELinux 策略中限制的其他服务

此更新将额外的规则添加到限制以下 systemd 服务的 SELinux 策略中:

  • nvme-stas
  • realmd
  • rust-afterburn
  • rust-coreos-installer

因此,这些服务不会再使用 unconfined_service_t SELinux 标签运行,并可在 SELinux enforcing 模式下成功运行。

Jira:RHEL-12591[1]

OpenSSL 的 fips.so 库作为单独的软件包提供

OpenSSL 使用 fips.so 共享库作为 FIPS 提供者。有了此更新,提交给美国国家标准与技术研究所(NIST)进行认证的 fips.so 的最新版本在单独的软件包中,以确保 OpenSSL 的未来版本使用经过认证的代码或正在进行认证的代码。

Jira:RHEL-23474[1]

OpenSSL 为提供者配置添加了一个补充目录

OpenSSL TLS 工具包为提供加密算法的模块的安装和配置支持提供者 API 。有了此更新,您可以将特定于提供者的配置放在 /etc/pki/tls/openssl.d 目录下的单独 .conf 中,而无需不修改主 OpenSSL 配置文件。

Jira:RHEL-17193

p11-kit 软件包 rebase 到 0.25.3

p11-kit 软件包已更新至上游版本 0.25.3。软件包包含用来管理 PKCS#11 模块的 p11-kit 工具、用来对信任策略存储进行操作的 trust 工具,以及 p11-kit 库。主要改进包括:

  • 添加了对 PKCS#11 版本 3.0 的支持
  • pkcs11.h 头文件:

    • 添加了 ChaCha20/Salsa20、Poly1305 和特定于 IBM 的机制和属性
    • 为基于消息的加密添加了 AES-GCM 机制参数
  • p11-kit 工具:

    • 添加了列出和管理令牌的对象(list-tokenslist-mechanismslist-objectsimport-objectexport-objectdelete-objectgenerate-keypair)的工具命令
    • 添加了管理令牌的 PKCS#11 配置文件(list-profilesadd-profiledelete-profile)的工具命令
    • 添加了打印合并配置的 print-config 命令
  • trust 工具:

    • 添加了验证 .p11-kit 文件格式的 check-format 命令

Jira:RHEL-14834[1]

libkcapi rebase 到 1.4.0

libkcapi 库,其提供对 Linux 内核加密 API 的访问,已 rebase 到上游版本 1.4.0。这个更新包括各种改进和 bug 修复,最重要的是:

  • 添加了 sm3sumsm3hmac 工具。
  • 添加了 kcapi_md_sm3kcapi_md_hmac_sm3 API。
  • 添加了 SM4 便利功能。
  • 修复了对链接时间优化(LTO)的支持。
  • 修复了 LTO 回归测试。
  • 修复了使用 kcapi-enc 对任意大小的 AEAD 加密的支持。

Jira:RHEL-5367[1]

OpenSSH 中的用户和组创建使用 sysusers.d 格式

之前,OpenSSH 使用静态 useradd 脚本。有了此更新,OpenSSH 使用 sysusers.d 格式来声明系统用户,这使得反省系统用户成为可能。

Jira:RHEL-5222

OpenSSH 在身份验证中限制人工延迟

OpenSSH 在登录失败后的响应是人工延迟,以防止用户枚举攻击。在这个版本中,在远程身份验证用时(例如在特权访问管理(PAM)处理中)时,对此类延迟引入了一个上限。

Jira:RHEL-2469[1]

Stunnel rebase 到 5.71

stunnel TLS/SSL 隧道服务已 rebase 到上游版本 5.71。

主要新功能包括:

  • 添加了对现代 PostgreSQL 客户端的支持。
  • 您可以使用 protocolHeader 服务级别选项插入自定义连接协议 协商 标头。
  • 您可以使用 protocolHost 选项控制客户端 SMTP 协议协商 HELO/EHLO 值。
  • 添加了对客户端 协议的客户端支持 = ldap
  • 现在,您可以使用服务级别的 sessionResume 选项配置会话恢复。
  • 添加了对使用 CApath 在服务器模式中请求客户端证书的支持(以前,只支持 CAfile )。
  • 改进了文件读取和日志记录性能。
  • 添加了对 重试 选项可配置延迟的支持。
  • 在客户端模式中,在设置 verifyChain 时请求和验证 OCSP 错误。
  • 在服务器模式中,会始终提供 OCSP stapling。
  • 不预期的 OCSP 验证会破坏 TLS 协商。您可以通过设置 OCSPrequire = no 来禁用此功能。

Jira:RHEL-2468[1]

Rsyslog 中丢弃功能的新选项

现在,您可以使用以下全局选项在丢弃功能时配置 Rsyslog 的行为:

libcapng.default
决定在丢弃功能时遇到错误时的 Rsyslog 的操作。默认值为 on,如果与 libcapng 相关的 错误发生,则会导致 Rsyslog 退出。
libcapng.enable
决定在启动过程中 Rsyslog 丢弃功能。如果禁用了这个选项,libcapng.default 不会影响。

Jira:RHEL-943[1]

audit rebase 到 3.1.2

Linux Audit 系统已更新至版本 3.1.2,与之前发布的版本 3.0.7 相比,它提供了 bug 修复、功能增强和性能改进。主要改进包括:

  • auparse 库现在解释未命名和匿名套接字。
  • 您可以在 ausearchaureport 工具的 startend 选项中使用新关键字 this-hour
  • 添加了对 io_uring 异步 I/O API 的支持。
  • auditctl 程序中添加了用户友好的信号关键字。
  • 改进了处理 auparse 中的损坏日志。
  • 现在,在 auditd 服务中默认禁用 ProtectControlGroups 选项。
  • 修复了对 exclude 过滤器的规则检查。
  • OPENAT2 字段的解释已被改进。
  • audispd af_unix 插件已移到独立程序。
  • Python 绑定已被修改,以防止从 Python API 设置审计规则。这个更改是由 Simplified Wrapper 和 Interface Generator (SWIG)中的一个错误造成的。

Jira:RHEL-14896[1]

rsyslog rebase 到 8.2310

Rsyslog 日志处理系统已 rebase 到上游版本 8.2310。这个版本引入了重要的改进和程序错误修复。最显著的改进包括:

可自定义的 TLS/SSL 加密设置
在以前的版本中,为单独的连接配置 TLS/SSL 加密设置仅限于全局设置。使用最新版本,您可以在 Rsyslog 中为每个连接定义唯一的 TLS/SSL 设置。这包括指定不同的 CA 证书、私钥、公钥和 CRL 文件,以提高安全性和灵活性。有关详细信息和用法,请参阅 rsyslog-doc 软件包中提供的文档。
优化的能力丢弃功能
现在,您可以设置与功能丢弃相关的附加选项。您可以通过将 libcapng.enable 全局选项设置为 off 来禁用功能丢弃。如需更多信息,请参阅 RHEL-943

Jira:RHEL-937, Jira:RHEL-943

SCAP 安全指南 rebase 到 0.1.72

SCAP 安全指南(SSG)软件包已更新到上游版本 0.1.72。此版本提供程序错误修正和各种改进,最重要的是:

  • CIS 配置文件已更新,使其与最新的基准一致。
  • PCI DSS 配置集与 PCI DSS 策略版本 4.0 一致。
  • STIG 配置文件与最新的 DISA STIG 策略一致。

如需更多信息,请参阅 SCAP 安全指南发行注记

Jira:RHEL-21425

Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.