Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 15 章 安全性

SELinux 用户空间软件包 rebase 到版本 2.5

SELinux 用户空间软件包升级至上游版本 2.5,它提供了很多改进、错误修复和性能改进。SELinux 用户空间 2.5 中最重要的新功能包括:
  • 新的 SELinux 模块存储支持优先级。优先级概念提供了使用较高优先级模块覆盖系统模块的功能。
  • SELinux 通用中间语言(CIL)提供了明确且简单的语法,这些语法易于读取、解析,并由高级别编译器、分析工具和策略生成工具生成。
  • 现在,耗时的 SELinux 操作(如策略安装或载入新策略模块)会非常快。
注:SELinux 模块的默认位置保留在 Red Hat Enterprise Linux 7 中的 /etc/selinux/ 目录中,上游版本使用 /var/lib/selinux/。要为迁移更改此位置,请在 /etc/selinux/semanage.conf 文件中设置 store-root= 选项。(BZ#1297815)

scap-workbench rebase 到版本 1.1.2

scap-workbench 软件包已更新至 1.1.2 版本,它提供了一个新的 SCAP 安全指南集成对话框。该对话框可帮助管理员选择需要扫描的产品,而不是选择内容文件。新版本还提供大量性能和用户专家改进,包括改进定制窗口中的规则搜索,可以使用 GUI 在 SCAP 内容中获取远程资源,以及空运行功能。dry-run 功能允许用户向诊断窗口获取 oscap 命令行参数,而不是运行扫描。(BZ#1202854)

openscap rebase 到版本 1.2.10

启用集成安全内容自动化协议(SCAP)行的 OpenSCAP 套件已 rebase 到版本 1.2.10,它是最新的上游版本。openscap 软件包提供 OpenSCAP 库和 oscap 工具。最重要的是,这个更新添加了对使用 atomic scan 命令扫描容器的支持。另外,这个更新提供以下改进:
  • oscap-vm,这是用于虚拟机离线扫描的工具
  • oscap-chroot,这是对挂载在任意路径的文件系统离线扫描的工具
  • 完全支持开放漏洞和评估语言(OVAL) 5.11.1
  • 对远程 .xml.bz2 文件的原生支持
  • 根据各种标准对 HTML 报告结果进行分组
  • HTML 报告改进
  • 用于调试 OVAL 评估的详细模式(BZ1278147)

firewalld rebase 到版本 0.4.3.2

firewalld 软件包已升级到上游版本 0.4.3.2,它提供很多改进和程序错误修复。主要变化包括:
  • 性能改进: firewalld 启动并重启会因为新的事务模型同时将规则分组在一起。这个模型使用 iptables restore 命令。另外,firewall-cmdfirewall-offline-cmdfirewall-configfirewall-applet 工具已被改进,并考虑性能。
  • 改进了连接、接口和源的管理:用户现在可以控制 NetworkManager 中连接的区设置。此外,接口的区设置也由 firewalldifcfg 文件控制。
  • 默认日志记录选项:使用新的 LogDenied 设置,用户可以轻松地调试并记录被拒绝的数据包。
  • ipset 支持: firewalld 现在支持多个 IP 集作为区源,在丰富的和直接规则内支持。请注意,在 Red Hat Enterprise Linux 7.3 中,firewalld 仅支持以下 ipset 类型:

audit rebase 到版本 2.6.5

audit 软件包包含用于存储和搜索由 Linux 内核中审计子系统生成的审计记录的用户空间工具。audit 软件包已升级到上游版本 2.6.5,它提供很多改进和程序错误修复。主要变化包括:
  • 审计守护进程现在包含一个名为 incremental_async 的新冲刷技术,它大约提高了 90 次的性能。
  • 审计系统 现在有许多规则可以组成到 审计策略 中。其中一些新规则包括对安全技术实施指南(STIG)、PCI 数据安全标准和其他功能的支持,如审计出现 32 位系统调用、显著功耗或模块加载。
  • auditd.conf 配置文件和 auditctl 命令现在支持许多新选项。
  • 审计系统 现在支持名为增强的新日志格式,它解决了 UID、GID、syscall、架构和网络地址。这将有助于在与生成日志不同的机器上记录分析。(BZ#1296204)

现在支持 MACsec (IEEE 802.1AE)

在这个版本中,支持通过以太网进行 Media Access Control Security (MACsec)加密。MACsec 使用 GCM-AES-128 算法加密并验证 LAN 中的所有流量。(BZ#1104151)

rsyslog RELP 模块现在绑定到特定的规则集

在这个版本中,rsyslog 可靠的事件日志记录协议(RELP)模块现在可以绑定到每个输入实例的特定规则集。input () 实例规则集的优先级高于 module () 规则集。(BZ#1223566)

rsyslog imfile 模块现在支持通配符文件名

rsyslog 软件包提供了一个增强的、多线程的 syslog 守护进程。在这个版本中,rsyslog imfile 模块支持在文件名中使用通配符,并将实际文件名添加到消息的元数据中。当 rsyslog 需要读取目录下的日志且无法提前知道文件的名称时,这非常有用。(BZ#1303617)

audit.log 中的 syscalls 现在转换为文本

有了这个更新,auditd 在将系统调用号转发到 syslog 守护进程之前,先将其转换为 syslog 守护进程。(BZ#1127343)

audit 子系统现在可以按进程名称过滤

用户现在可以根据可执行文件名称进行审核(使用 -F exe=<path-to-executable&gt; 选项),该选项允许表达式许多新的审计规则。您可以使用此功能检测事件,如 bash shell 打开网络连接。(BZ#1135562)

mod_security_crs rebase 到版本 2.2.9

mod_security_crs 软件包已升级到上游版本 2.2.9,它提供很多程序错误修复和增强。主要变更包括:
  • 用于检测 PHP 漏洞的新 PHP 规则(958977)。
  • JS 覆盖文件 来识别成功的 XSS 探测。
  • 新的 XSS 检测规则。
  • 修复了会话劫持规则。(BZ#1150614)

opencryptoki rebase 到版本 3.5

opencryptoki 软件包已升级到 3.5 版本,它提供很多程序错误修复和增强。
主要变更包括:
  • 如果不存在,cryptoki 服务会自动创建 lock/log/ 目录。
  • PKCS the API 支持在所有令牌中使用 SHA 哈希的基于哈希的消息验证代码(HMAC)。
  • openCryptoki 库提供了 OPENCRYPTOKI_TRACE_LEVEL 环境变量的动态追踪集。(BZ#1185421)

gnutls 现在使用中央证书存储

gnutls 软件包提供 GNU Transport Layer Security (GnuTLS)库,它实现了加密算法和协议,如 SSL、TLS 和 DTLS。在这个版本中,GnuTLS 通过 p11-kit 软件包使用 Red Hat Enterprise Linux 的中央证书存储。证书颁发机构(CA)更新以及证书黑色列表现在在运行时对应用程序可见。(BZ#1110750)

firewall-cmd 命令现在可以提供额外的详情

在这个版本中,firewalld 显示服务、区和 ICMP 类型的详情。另外,用户可以列出源 XML 文件的完整路径。firewall-cmd 的新选项有:
  • [--permanent] --info-zone=zone
  • [--permanent] --info-service=service
  • [--permanent] --info-icmptype=icmptype (BZ#1147500)

pam_faillock 现在可以使用 unlock_time=never配置

pam_faillock 模块现在允许使用由多个身份验证失败生成的用户身份验证锁定的 unlock_time=never 选项指定。(BZ#1273373)

libica rebase 到版本 2.6.2

libica 软件包已更新至上游版本 2.6.2,它提供很多程序错误修复和增强。值得注意的是,这个更新添加了对生成伪随机数字的支持,包括根据更新的安全规格 NIST SP 800-90A 对 Deterministic Random Bit Generator (DRBG)的支持。(BZ#1274390)

新的 lastlog 选项

lastlog 工具现在有新的 --clear--set 选项,它允许系统管理员将用户的 lastlog 条目重置为 永不登录的 值或当前时间。这意味着,您可以重新启用之前因为不活跃而锁定的用户帐户。(BZ#1114081)

libreswan rebase 到版本 3.15

Libreswan 是 Linux 的互联网协议安全(IPsec)和互联网密钥交换(IKE)的实现。libreswan 软件包已升级到上游版本 3.15,它提供很多改进和程序错误修复。主要变化包括:
  • 在使用 SHA2 算法时,会增加非ce 大小以满足 RFC 要求。
  • 现在,当连接错误时,Libreswan 会调用 NetworkManager 帮助程序。
  • 证书中的所有 CRL 发布点 现已处理。
  • Libreswan 不再尝试删除不存在的 IPsec 安全关联(SA)。
  • pluto IKE 守护进程现在具有 CAP_DAC_READ_SEARCH 功能。
  • 当使用 on-demand 隧道时,pluto 不再崩溃。
  • pam_acct_mgmt 现在被正确设置。
  • 修复了回归,带有 keyingtries=0 的隧道会尝试无限期建立隧道。
  • 在重新建立配置为保持的已删除隧道前的延迟现在小于一秒。(BZ#1389316)

nettle 中的 SHA-3 实现现在符合 FIPS 202

nettle 是一个加密库,设计为在几乎所有上下文中轻松容纳。在这个版本中,安全哈希算法 3 (SHA-3)实现已更新,以符合最终联邦信息处理标准(FIPS) 202 草案。(BZ#1252936)

scap-security-guide rebase 到版本 0.1.30

scap-security-guide 项目提供了从最终系统安全点配置系统的指南。软件包已升级至 0.1.30 版本。主要改进包括:
  • Red Hat Enterprise Linux 7 包括并更新国家安全系统(CNSS)指令 No. 1253 配置文件。
  • The U.S.现在,提供了由互联网安全中心(CIS)基准提升的政府 Commercial Cloud Services (C2S)配置文件。
  • 现在,补救 脚本直接包含在基准测试中,不再需要外部 shell 库。
  • Red Hat Enterprise Linux 7 的国防信息系统局(DISA)安全技术实施指南(STIG)配置文件已更新为 Red Hat Enterprise Linux 6 的 DISA STIG 配置文件。
  • Red Hat Enterprise Linux 7 现在提供了 Criminal Justice Information Services (CJIS)安全策略配置集的草案。(BZ#1390661)