Kapitel 6. Sicherheit

Autoritative Ergebnisse beim Nachschlagen von Sudo-Einträgen

Das sudo-Hilfsprogramm ist dazu in der Lage, die /etc/nsswitch.conf-Datei auf Sudo-Einträge zu untersuchen und diese in Dateien oder per LDAP nachzuschlagen. Bislang wurde diese Nachschlage-Operation auch dann in anderen Datenbanken (einschließlich Dateien) fortgeführt, wenn ein übereinstimmender Eintrag in der ersten Datenbank für Sudo-Einträge gefunden wurde. In Red Hat Enterprise Linux 6.4 wurde eine Option zur /etc/nsswitch.conf-Datei hinzugefügt, die es Benutzern ermöglicht, eine Datenbank festzulegen, nach der eine Übereinstimmung mit einem Sudo-Eintrag ausreicht. Dadurch werden Abfragen weiterer Datenbanken überflüssig und die Leistung beim Nachschlagen von Sudo-Einträgen in großen Umgebungen wird mithin verbessert. Dieses Verhalten ist standardmäßig nicht aktiviert und muss konfiguriert werden, indem die Zeichenfolge [SUCCESS=return] nach der gewählten Datenbank eingefügt wird. Wenn in der Datenbank, die dieser Zeichenfolge direkt vorausgeht, eine Übereinstimmung gefunden wird, so werden keine weiteren Datenbanken mehr überprüft.

Zusätzliche Passwortprüfungen für pam_cracklib

Das pam_cracklib-Modul wurde aktualisiert, um mehrere neue Prüfungen der Passwortstärke zu implementieren:
  • Bestimmte Authentifizierungsrichtlinien erlauben keine Passwörter, die lange, fortlaufende Sequenzen wie z.B. "abcd" oder "98765" enthalten. Diese Aktualisierung führt nun die Möglichkeit ein, mithilfe der neuen maxsequence-Option die Höchstlänge dieser Sequenzen zu begrenzen.
  • Das pam_cracklib-Modul ermöglicht nun die Prüfung, ob ein neues Passwort Wörter aus dem GECOS-Feld aus Einträgen in der /etc/passwd-Datei enthält. Das GECOS-Feld wird dazu verwendet, um zusätzliche Informationen über den Benutzer zu speichern, beispielsweise den vollständigen Namen des Benutzers oder eine Telefonnummer. Diese Informationen könnten von einem Angreifer dazu verwendet werden, um gegebenenfalls ein solches Passwort zu knacken.
  • Das pam_cracklib-Modul ermöglicht mithilfe der maxrepeatclass-Option nun die Angabe der maximal zulässigen Anzahl aufeinanderfolgender Zeichen derselben Zeichenklasse (Kleinbuchstaben, Großbuchstaben, Ziffern und Sonderzeichen) in einem Passwort.
  • Das pam_cracklib-Modul unterstützt nun die enforce_for_root-Option, die Komplexitätsvorgaben für neue Passwörter des Root-Accounts erzwingen.

size-Option für tmpfs-Polyinstantiierung

Auf einem System mit mehreren tmpfs-Mounts ist es notwendig, deren Größe zu beschränken, damit sie nicht den gesamten Systemspeicher in Anspruch nehmen. PAM wurde aktualisiert, um es Benutzern nun mithilfe der mntopts=size=<size>-Option in der /etc/namespace.conf-Konfigurationsdatei zu ermöglichen, die maximale Größe des tmpfs-Dateisystem-Mounts zu spezifizieren, wenn tmpfs-Polyinstantiierung verwendet wird.

Sperren inaktiver Benutzerkonten

Bestimmte Authentifizierungsrichtlinien erfordern Unterstützung zur Sperrung eines Benutzerkontos, das während einer bestimmten Zeitspanne nicht benutzt wurde. Red Hat Enterprise Linux 6.4 bringt eine zusätzliche Funktion in das pam_lastlog-Modul ein, die es Benutzern ermöglicht, Benutzerkonten nach einer konfigurierbaren Anzahl von Tagen zu sperren.

Neue Operationsmodi für libica

Die libica-Bibliothek, die eine Reihe von Funktionen und Tools zum Zugriff auf die IBM eServer Cryptographic Accelerator (ICA) Hardware auf IBM System z enthält, wurde bearbeitet, um die Verwendung neuer Algorithmen zu ermöglichen, welche die Message Security Assist Extension 4 Instruktionen in der Central Processor Assist for Cryptographic Function (CPACF) unterstützen. Für die DES und 3DES Blockchiffren werden nun die folgenden Operationsmodi unterstützt:
  • Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
  • Cipher-based Message Authentication Code (CMAC)
Für die AES-Blockchiffre werden nun die folgenden Operationsmodi unterstützt:
  • Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
  • Counter with Cipher Block Chaining Message Authentication Code (CCM)
  • Galois/Counter (GCM)
Diese Beschleunigung komplexer kryptographischer Algorithmen verbessert wesentlich die Leistung von IBM System z Rechnern.

Optimierung und Unterstützung der zlib-Komprimierungsbibliothek für System z

Die zlib-Bibliothek - eine Bibliothek für allgemeine, verlustfreie Datenkomprimierung - wurde aktualisiert, um die Komprimierungsleistung auf IBM System z zu verbessern.

Ausweichkonfiguration für Firewall

Die iptables- und ip6tables-Dienste bieten nun die Fähigkeit, der Firewall eine Ausweichkonfiguration zuzuweisen, falls die standardmäßigen Konfigurationen nicht angewendet werden können. Falls das Anwenden der Firewall-Regeln aus /etc/sysconfig/iptables fehlschlägt, wird die Ausweichdatei angewendet, sofern eine existiert. Die Ausweichdatei heißt /etc/sysconfig/iptables.fallback und verwendet das iptables-save-Dateiformat (dasselbe Format wie /etc/sysconfig/iptables). Falls das Anwenden der Ausweichdatei ebenfalls fehlschlägt, gibt es keine weitere Ausweichlösung. Um eine Ausweichdatei zu erstellen, verwenden Sie die standardmäßigen Firewall-Konfigurationstools und benennen Sie die Datei in die Ausweichdatei um bzw. kopieren Sie sie entsprechend. Dasselbe Vorgehen gilt für den ip6tables-Dienst, ersetzen Sie einfach überall »iptables« durch »ip6tables«.