Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Kapitel 13. Sicherheit
SCAP Security Guide
Das Paket scap-security-guide wurde in Red Hat Enterprise Linux 7.1 aufgenommen, um Leitlinien zur Sicherheit sowie zugehörige Prüfmechanismen bereitzustellen. Die Leitlinien werden im Security Content Automation Protocol (SCAP) spezifiziert, das einen Katalog mit praktischen Ratschlägen zur Systemhärtung enthält. Der SCAP Security Guide enthält die notwendigen Daten, um die Konformität der Systemsicherheit anhand vorgeschriebener Sicherheitsrichtlinien zu prüfen. Das Paket enthält sowohl eine schriftliche Anleitung als auch einen automatisierten Test. Mit dem automatisierten Test bietet der SCAP Security Guide eine bequeme und zuverlässige Methode zur regelmäßigen Prüfung der Systemkonformität.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the
oscap
command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.
SELinux-Richtlinie
In Red Hat Enterprise Linux 7.1 wurde die SELinux-Richtlinie verändert. Dienste ohne eigene SELinux-Richtlinie, die bislang in der Domain
init_t
ausgeführt wurden, laufen nun in der neuen Domain unconfined_service_t
. Im Kapitel Unconfined Processes im SELinux User's and Administrator's Guide für Red Hat Enterprise Linux 7.1 finden Sie mehr Informationen.
Neue Features in OpenSSH
Die Toolreihe OpenSSH wurde aktualisiert auf Version 6.6.1p1, was mehrere neue Features hinsichtlich der Kryptografie einbringt:
- Schlüsselaustausch mittels der elliptischen Kurve
Diffie-Hellman
in Daniel BernsteinsCurve25519
wird nun unterstützt. Diese Methode ist nun der Standard, vorausgesetzt, sowohl der Server als auch der Client unterstützen sie. - Unterstützung für das Signaturschema der elliptischen Kurve
Ed25519
als öffentlicher Schlüsseltyp wurde hinzugefügt.Ed25519
, das sowohl für Benutzer- als auch für Hostschlüssel verwendet werden kann, bietet eine bessere Sicherheit alsECDSA
undDSA
sowie eine gute Leistung. - Ein neues Format für private Schlüssel wurde hinzugefügt, das die
bcrypt
-Funktion zur Schlüsselerstellung (Key Derivation Function, kurz KDF) verwendet. Standardmäßig wird dieses Format fürEd25519
-Schlüssel verwendet, kann jedoch auch von anderen Schlüsseltypen angefordert werden. - Eine neue Chiffre zur Datenübertragung namens
chacha20-poly1305@openssh.com
wurde hinzugefügt. Sie kombiniert Daniel BernsteinsChaCha20
Stream-Chiffre mit demPoly1305
Message Authentication Code (MAC).
Neue Features in Libreswan
Die Libreswan-Implementierung von IPsec VPN wurde aktualisiert auf Version 3.12, was mehrere neue Features und Verbesserungen einbringt:
- Neue Chiffren wurden hinzugefügt.
IKEv2
support has been improved.- Unterstützung für Zertifizierungsketten wurde in
IKEv1
undIKEv2
hinzugefügt. - Die Handhabung von Verbindungen wurde verbessert.
- Die Interoperabilität mit OpenBSD-, Cisco- und Android-Systemen wurde verbessert.
- Die systemd-Unterstützung wurde verbessert.
- Unterstützung für gehashte
CERTREQ
und Datenstatistiken wurde hinzugefügt.
Neue Features in TNC
The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
- The
PT-EAP
transport protocol (RFC 7171) for Trusted Network Connect has been added. - The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
- Die Attestation-IMV-Unterstützung wurde verbessert, indem ein neues TPMRA-Arbeitsobjekt implementiert wurde.
- Unterstützung für eine JSON-basierte REST API mit SWID IMV wurde hinzugefügt.
- The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
- The
libtls
TLS 1.2
implementation as used byEAP-(T)TLS
and other protocols has been extended by AEAD mode support, currently limited toAES-GCM
. - Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common
imv_session
object. - Mehrere Fehler wurden behoben in den vorhandenen Protokollen
IF-TNCCS
(PB-TNC
,IF-M
(PA-TNC
)) und imOS IMC/IMV
-Paar.
Neue Features in GnuTLS
Die GnuTLS-Implementierung der Protokolle
SSL
, TLS
und DTLS
wurde aktualisiert auf Version 3.3.8, die eine Reihe neuer Features und Verbesserungen enthält:
- Unterstützung für
DTLS 1.2
wurde hinzugefügt. - Unterstützung für Application Layer Protocol Negotiation (ALPN) wurde hinzugefügt.
- Die Leistung von Chiffre-Sets mit elliptischen Kurven wurde verbessert.
- Neue Chiffre-Sets
RSA-PSK
undCAMELLIA-GCM
wurden hinzugefügt. - Integrierte Unterstützung für den Trusted Platform Module (TPM) Standard wurde hinzugefügt.
- Unterstützung für
PKCS#11
Smart Cards und Hardware Security Modules (HSM) wurde in vielfacher Hinsicht verbessert. - Die Konformität mit den FIPS 140 Sicherheitsstandards (Federal Information Processing Standards) wurde in vielfacher Hinsicht verbessert.