Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Kapitel 16. Sicherheit

OpenSSH chroot Shell-Logins

Im Allgemeinen wird jedem Linux-Benutzer anhand der SELinux-Richtlinie ein SELinux-Benutzer zugewiesen. Dadurch können Linux-Benutzer die Einschränkungen erben, die auf SELinux-Benutzer angewendet werden. Es gibt eine standardmäßige Zuordnung, nach der Linux-Benutzer dem SELinux-Benutzer unconfined_u zugeordnet sind.
In Red Hat Enterprise Linux 7 kann die ChrootDirectory Option für nicht eingeschränkte Benutzer weiterhin ohne Änderungen dazu verwendet werden, um Benutzer in eine chroot-Umgebung zu platzieren. Für eingeschränkte Benutzer jedoch, wie z.B. staff_u, user_u oder guest_u, muss die SELinux-Variable selinuxuser_use_ssh_chroot gesetzt sein. Administratoren sollten den Benutzer guest_u für alle Benutzer in einer chroot-Umgebung verwenden, wenn sie die ChrootDirectory Option verwenden, um eine bessere Sicherheit zu erzielen.

Multiple erforderliche Authentifizierungsmethoden

Red Hat Enterprise Linux 7.0 unterstützt multiple erforderliche Authentifizierungsmethoden in der SSH-Protokollversion 2 mithilfe der AuthenticationMethods Option. Diese Option listet eine oder mehrere kommagetrennte Listen mit Namen von Authentifizierungsmethoden auf. Für eine erfolgreiche Authentifizierung müssen sämtliche Methoden in allen Listen erfolgreich verlaufen. Dadurch ist es möglich, beispielsweise von einem Benutzer die Authentifizierung mittels öffentlichem Schlüssel oder GSSAPI zu erfordern, bevor eine Authentifizierung per Passwort angeboten wird.

GSS Proxy

GSS Proxy ist der Systemdienst, der einen API Kerberos-Kontext im Auftrag anderer Applikationen erstellt. Dies bringt Sicherheitsvorteile mit sich. Beispielsweise in einer Situation, in der mehrere Prozesse gemeinsam Zugriff auf die Systemschlüsseltabelle haben, führt ein erfolgreicher Angriff auf diesen Prozess dazu, dass er sich als alle anderen Prozesse ausgeben kann.

Änderungen in NSS

Die nss Pakete wurden aktualisiert auf Upstream-Version 3.15.2. Signaturen der Message-Digest Algorithmen 2 (MD2), MD4 und MD5 werden nicht mehr akzeptiert für Online Certificate Statusprotokoll (OCSP) oder Zertifikatsperrlisten (Certificate Revocation Lists oder kurz CRLs), im Einklang mit deren Handhabung von allgemeinen Zertifikatssignaturen.
Die Advanced Encryption Standard Galois Counter Mode (AES-GCM) Verschlüsselungssammlung (RFC 5288 und RFC 5289) wurde hinzugefügt zur Verwendung bei der TLS 1.2 Verhandlung. Die folgenden Verschlüsselungssammlungen werden nun unterstützt:
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP Workbench

SCAP Workbench ist ein grafisches Frontend, das eine Suchfunktionalität für SCAP-Inhalte bereitstellt. SCAP Workbench ist in Red Hat Enterprise Linux 7.0 als Technologievorschau enthalten.
Detaillierte Informationen finden Sie auf der Website des Upstream-Projekts:

OSCAP Anaconda-Add-On

Red Hat Enterprise Linux 7.0 führt das OSCAP Anaconda-Add-On als Technologievorschau ein. Das Add-On integriert OpenSCAP-Dienstprogramme in den Installationsvorgang und ermöglicht die Installation von Systemen, die Einschränkungen von SCAP-Inhalten folgen.