Kapitel 13. Sicherheit

SCAP Security Guide

Das Paket scap-security-guide wurde in Red Hat Enterprise Linux 7.1 aufgenommen, um Leitlinien zur Sicherheit sowie zugehörige Prüfmechanismen bereitzustellen. Die Leitlinien werden im Security Content Automation Protocol (SCAP) spezifiziert, das einen Katalog mit praktischen Ratschlägen zur Systemhärtung enthält. Der SCAP Security Guide enthält die notwendigen Daten, um die Konformität der Systemsicherheit anhand vorgeschriebener Sicherheitsrichtlinien zu prüfen. Das Paket enthält sowohl eine schriftliche Anleitung als auch einen automatisierten Test. Mit dem automatisierten Test bietet der SCAP Security Guide eine bequeme und zuverlässige Methode zur regelmäßigen Prüfung der Systemkonformität.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

SELinux-Richtlinie

In Red Hat Enterprise Linux 7.1 wurde die SELinux-Richtlinie verändert. Dienste ohne eigene SELinux-Richtlinie, die bislang in der Domain init_t ausgeführt wurden, laufen nun in der neuen Domain unconfined_service_t. Im Kapitel Unconfined Processes im SELinux User's and Administrator's Guide für Red Hat Enterprise Linux 7.1 finden Sie mehr Informationen.

Neue Features in OpenSSH

Die Toolreihe OpenSSH wurde aktualisiert auf Version 6.6.1p1, was mehrere neue Features hinsichtlich der Kryptografie einbringt:
  • Schlüsselaustausch mittels der elliptischen Kurve Diffie-Hellman in Daniel Bernsteins Curve25519 wird nun unterstützt. Diese Methode ist nun der Standard, vorausgesetzt, sowohl der Server als auch der Client unterstützen sie.
  • Unterstützung für das Signaturschema der elliptischen Kurve Ed25519 als öffentlicher Schlüsseltyp wurde hinzugefügt. Ed25519, das sowohl für Benutzer- als auch für Hostschlüssel verwendet werden kann, bietet eine bessere Sicherheit als ECDSA und DSA sowie eine gute Leistung.
  • Ein neues Format für private Schlüssel wurde hinzugefügt, das die bcrypt-Funktion zur Schlüsselerstellung (Key Derivation Function, kurz KDF) verwendet. Standardmäßig wird dieses Format für Ed25519-Schlüssel verwendet, kann jedoch auch von anderen Schlüsseltypen angefordert werden.
  • Eine neue Chiffre zur Datenübertragung namens chacha20-poly1305@openssh.com wurde hinzugefügt. Sie kombiniert Daniel Bernsteins ChaCha20 Stream-Chiffre mit dem Poly1305 Message Authentication Code (MAC).

Neue Features in Libreswan

Die Libreswan-Implementierung von IPsec VPN wurde aktualisiert auf Version 3.12, was mehrere neue Features und Verbesserungen einbringt:
  • Neue Chiffren wurden hinzugefügt.
  • IKEv2 support has been improved.
  • Unterstützung für Zertifizierungsketten wurde in IKEv1 und IKEv2 hinzugefügt.
  • Die Handhabung von Verbindungen wurde verbessert.
  • Die Interoperabilität mit OpenBSD-, Cisco- und Android-Systemen wurde verbessert.
  • Die systemd-Unterstützung wurde verbessert.
  • Unterstützung für gehashte CERTREQ und Datenstatistiken wurde hinzugefügt.

Neue Features in TNC

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • Die Attestation-IMV-Unterstützung wurde verbessert, indem ein neues TPMRA-Arbeitsobjekt implementiert wurde.
  • Unterstützung für eine JSON-basierte REST API mit SWID IMV wurde hinzugefügt.
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • Mehrere Fehler wurden behoben in den vorhandenen Protokollen IF-TNCCS (PB-TNC, IF-M (PA-TNC)) und im OS IMC/IMV-Paar.

Neue Features in GnuTLS

Die GnuTLS-Implementierung der Protokolle SSL, TLS und DTLS wurde aktualisiert auf Version 3.3.8, die eine Reihe neuer Features und Verbesserungen enthält:
  • Unterstützung für DTLS 1.2 wurde hinzugefügt.
  • Unterstützung für Application Layer Protocol Negotiation (ALPN) wurde hinzugefügt.
  • Die Leistung von Chiffre-Sets mit elliptischen Kurven wurde verbessert.
  • Neue Chiffre-Sets RSA-PSK und CAMELLIA-GCM wurden hinzugefügt.
  • Integrierte Unterstützung für den Trusted Platform Module (TPM) Standard wurde hinzugefügt.
  • Unterstützung für PKCS#11 Smart Cards und Hardware Security Modules (HSM) wurde in vielfacher Hinsicht verbessert.
  • Die Konformität mit den FIPS 140 Sicherheitsstandards (Federal Information Processing Standards) wurde in vielfacher Hinsicht verbessert.