Red Hat Training

A Red Hat training course is available for RHEL 8

4.14. Sicherheit (Maschinenübersetzung)

SCAP Sicherheitsleitfaden PCI-DSS-Profil stimmt mit Version 3.2.1 überein

Das SCAP Security GuideProjekt stellt das PCI-DSS-Profil (Payment Card Industry Data Security Standard) für Red Hat Enterprise Linux 8 bereit und wurde an die neueste PCI-DSS-Version - 3.2.1 - angepasst.

(BZ#1618528)

OpenSSH auf Version 7.8p1 umgestellt

Die opensshPakete wurden auf die Upstream-Version 7.8p1 aktualisiert. Zu den bemerkenswerten Änderungen gehören:

  • Die Unterstützung für das SSH version 1Protokoll wurde entfernt.
  • Die Unterstützung für den hmac-ripemd160Nachrichten-Authentifizierungscode wurde entfernt.
  • Die Unterstützung für RC4 (arcfour) Verschlüsselungen wurde entfernt.
  • Die Unterstützung für BlowfishVerschlüsselungen wurde entfernt.
  • Die Unterstützung für CASTVerschlüsselungen wurde entfernt.
  • Der Standardwert der UseDNSOption wurde geändert auf no.
  • Standardmäßig sind die Algorithmen für DSAöffentliche Schlüssel deaktiviert.
  • Die minimale Modulgröße für Diffie-HellmanParameter wurde auf 2048 Bit geändert.
  • Die Semantik der ExposeAuthInfoKonfigurationsoption wurde geändert.
  • Die UsePrivilegeSeparation=sandboxOption ist nun obligatorisch und kann nicht mehr deaktiviert werden.
  • Setzen Sie die minimal akzeptierte RSASchlüsselgröße auf 1024 Bit.

(BZ#1622511)

RSA-PSS wird nun unterstützt von OpenSC

Dieses Update bietet dem OpenSCSmartcard-Treiber Unterstützung für das kryptografische Signaturschema RSA-PSS. Das neue Schema ermöglicht einen sicheren kryptographischen Algorithmus, der für die TLS 1.3-Unterstützung in der Client-Software erforderlich ist.

(BZ#1595626)

Bemerkenswerte Änderungen in rsyslogRHEL 8

Die rsyslogPakete wurden auf die Upstream-Version 8.37.0 aktualisiert, die viele Bugfixes und Verbesserungen gegenüber den Vorgängerversionen bietet. Zu den wichtigsten Änderungen gehören:

  • Verbesserte Verarbeitung von internen rsyslog-Nachrichten; Möglichkeit der Geschwindigkeitsbegrenzung; mögliche Blockierung behoben.
  • Verbesserte Geschwindigkeitsbegrenzung im Allgemeinen; die tatsächliche Spam-Quelle wird nun protokolliert.
  • Verbessertes Handling von übergroßen Nachrichten - der Benutzer kann nun einstellen, wie er sie sowohl im Kern als auch in bestimmten Modulen mit separaten Aktionen behandeln soll.
  • mmnormalize regelbasen können nun in die configDatei eingebettet werden, anstatt separate Dateien für sie zu erstellen.
  • Der Benutzer kann nun die GnuTLS-Prioritätszeichenfolge festlegen, imtcpdie eine fein abgestufte Kontrolle über die Verschlüsselung ermöglicht.
  • Alle configVariablen, einschließlich der Variablen in JSON, sind nun case-insensitiv.
  • Verschiedene Verbesserungen der PostgreSQL-Ausgabe.
  • Es wurde die Möglichkeit zugefügt, Shell-Variablen zur Steuerung der configVerarbeitung zu verwenden, wie z.B. bedingtes Laden zusätzlicher Konfigurationsdateien, Ausführen von Anweisungen oder Einfügen eines Textes in config. Beachten Sie, dass eine übermäßige Nutzung dieser Funktion es sehr schwierig machen kann, Probleme mit rsyslog zu beheben.
  • 4-stellige Dateierstellungsmodi können nun in config.
  • Der Eingang des Reliable Event Logging Protocol (RELP) kann nun auch nur noch an eine bestimmte Adresse gebunden werden.
  • Der Standardwert der enable.bodyOption Mailausgabe ist nun auf die Dokumentation abgestimmt
  • Der Benutzer kann nun Einfügefehlercodes angeben, die in der MongoDB-Ausgabe ignoriert werden sollen.
  • Der parallele TCP (pTCP)-Eingang hat nun den konfigurierbaren Backlog für einen besseren Lastausgleich.

(BZ#1613880)

Neues rsyslog-Modul: omkafka

Um kafka-zentralisierte Datenspeicherszenarien zu ermöglichen, können Sie nun mit dem neuen omkafkaModul Protokolle an die kafka-Infrastruktur weiterleiten.

(BZ#1542497)

libssh implementiert SSH als zentrale kryptographische Komponente

Diese Änderung führt als eine zentrale kryptografische Komponente in Red Hat Enterprise Linux 8 einlibssh. Die libsshBibliothek implementiert das Secure SHell (SSH)-Protokoll.

Beachten Sie, dass libsshdies nicht mit der systemweiten Krypto-Richtlinie übereinstimmt.

(BZ#1485241)

Die PKCS #11-Unterstützung für Smart Cards und HSMs ist nun systemweit einheitlich

Mit diesem Update wird die Verwendung von Smart Cards und Hardware Security Modules (HSM) mit PKCS #11 kryptographischer Token-Schnittstelle konsistent. Dies bedeutet, dass der Benutzer und der Administrator die gleiche Syntax für alle zugehörigen Werkzeuge im System verwenden können. Zu den bemerkenswerten Verbesserungen gehören:

  • Unterstützung für das PKCS #11 Uniform Resource Identifier (URI)-Schema, das eine vereinfachte Aktivierung von Token auf RHEL-Servern sowohl für Administratoren als auch für Anwendungsautoren gewährleistet.
  • Ein systemweites Registrierungsverfahren für Smart Cards und HSMs unter Verwendung der pkcs11.conf.
  • Konsistente Unterstützung für HSMs und Smartcards ist in NSS-, GnuTLS- und OpenSSL-Anwendungen (through the openssl-pkcs11engine) verfügbar.
  • Der Apache HTTP-Server (httpd) unterstützt nun nahtlos HSMs.

Weitere Informationen finden Sie in der pkcs11.conf(5)Man Page.

(BZ#1516741)

Systemweite kryptografische Richtlinien werden standardmäßig angewendet

Krypto-Richtlinien sind eine Komponente in Red Hat Enterprise Linux 8, das die wichtigsten kryptographischen Subsysteme konfiguriert, die die Protokolle TLS, IPSec, SSH, DNSSec und Kerberos abdecken. Es bietet einen kleinen Satz von Richtlinien, die der Administrator mit dem update-crypto-policiesBefehl auswählen kann.

Die DEFAULTsystemweite kryptografische Richtlinie bietet sichere Einstellungen für aktuelle Bedrohungsmodelle. Es erlaubt die Protokolle TLS 1.2 und 1.3 sowie die Protokolle IKEv2 und SSH2. Die RSA-Schlüssel und Diffie-Hellman-Parameter werden akzeptiert, wenn sie größer als 2047 Bit sind.

Siehe den Consistent security by crypto policies in Red Hat Enterprise Linux 8Artikel auf dem Red Hat Blog und der update-crypto-policies(8)Man Page für weitere Informationen.

(BZ#1591620)

SCAP Security Guide unterstützt OSPP 4.2

SCAP Security Guide enthält einen Entwurf des OSPP-Profils (Protection Profile for General Purpose Operating Systems) Version 4.2 für Red Hat Enterprise Linux 8. Dieses Profil spiegelt die obligatorischen Konfigurationskontrollen wider, die im NIAP-Konfigurationsanhang des Schutzprofils für allgemeine Betriebssysteme (Schutzprofil Version 4.2) aufgeführt sind. Der SCAP Security Guide bietet automatisierte Prüfungen und Skripte, mit denen Benutzer die im OSPP definierten Anforderungen erfüllen können.

(BZ#1618518)

Die OpenSCAP-Befehlszeilenschnittstelle wurde verbessert

Der ausführliche Modus ist nun in allen oscapModulen und Submodulen verfügbar. Die Werkzeugausgabe hat eine verbesserte Formatierung.

Veraltete Optionen wurden entfernt, um die Benutzerfreundlichkeit der Befehlszeilenschnittstelle zu verbessern.

Die folgenden Optionen sind nicht mehr verfügbar:

  • --show in oscap xccdf generate reportwurde vollständig entfernt.
  • --probe-root in oscap oval evalwurde entfernt. Sie kann durch Setzen der Umgebungsvariablen ersetzt werden, OSCAP_PROBE_ROOT.
  • --sce-results in oscap xccdf evalwurde ersetzt durch --check-engine-results
  • validate-xml submodul wurde aus CPE-, OVAL- und XCCDF-Modulen entfernt. validateSubmodule können stattdessen verwendet werden, um SCAP-Inhalte anhand von XML-Schemata und XSD-Schemata zu validieren.
  • oscap oval list-probes befehl entfernt wurde, kann oscap --versionstattdessen die Liste der verfügbaren Sonden angezeigt werden.

OpenSCAP ermöglicht es, alle Regeln in einem bestimmten XCCDF-Benchmark unabhängig vom Profil zu bewerten, indem es --profile '(all)'.

(BZ#1618484)

Unterstützung für eine neue Berechtigungsprüfung der Karte auf dem mmapsyscall

Die mapSELinux-Berechtigung wurde hinzugefügt, um den Speicherabbildungszugriff auf Dateien, Verzeichnisse, Sockets usw. zu steuern. Dadurch kann die SELinux-Richtlinie den direkten Speicherzugriff auf verschiedene Dateisystemobjekte verhindern und sicherstellen, dass jeder dieser Zugriffe erneut validiert wird.

(BZ#1592244)

SELinux unterstützt jetzt systemd No New Privileges

Dieses Update stellt die nnp_nosuid_transitionRichtlinienfunktion vor, die SELinux-Domänenübergänge unter (NNPNo New Privileges) oder nosuidwenn nnp_nosuid_transitionzwischen dem alten und dem neuen Kontext erlaubt ist. Die selinux-policyPakete enthalten nun eine Richtlinie für Systemdienste, die die NNPSicherheitsfunktion verwenden.

Die folgende Regel beschreibt das Zulassen dieser Fähigkeit für einen Dienst: 

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Zum Beispiel: 

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

Die Distributionsrichtlinie enthält nun auch die m4-Makroschnittstelle, die in SELinux-Sicherheitsrichtlinien für Dienste, die die init_nnp_daemon_domain()Funktion nutzen, verwendet werden kann.

(BZ#1594111)

SELinux unterstützt nun getrlimitBerechtigungen in der processKlasse

Mit diesem Update wird eine neue SELinux-Zugangskontrollprüfung eingeführt, process:getrlimitdie für die prlimit()Funktion hinzugefügt wurde. Auf diese Weise können SELinux-Richtlinienentwickler steuern, wann ein Prozess versucht, die Ressourcenbegrenzungen eines anderen Prozesses mit der process:setrlimitBerechtigung zu lesen und dann zu ändern. Beachten Sie, dass SELinux einen Prozess nicht daran hindert, seine eigenen Ressourcengrenzen durch prlimit(). Weitere Informationen finden Sie auf den Seiten prlimit(2)und getrlimit(2)in der Bedienungsanleitung.

(BZ#1549772)

TLS 1.3-Unterstützung in kryptographischen Bibliotheken

Dieses Update ermöglicht Transport Layer Security (TLS) 1.3 standardmäßig in allen wichtigen Backend-Kryptobibliotheken. Dies ermöglicht eine geringe Latenzzeit auf der Kommunikationsschicht des Betriebssystems und erhöht die Privatsphäre und Sicherheit von Anwendungen durch die Nutzung neuer Algorithmen wie RSA-PSS oder X25519.

(BZ#1516728)

Neue Funktionen in OpenSCAPRHEL 8

Die OpenSCAPSuite wurde auf die Upstream-Version 1.3.0 aktualisiert, die viele Verbesserungen gegenüber den Vorgängerversionen enthält. Zu den bemerkenswertesten Merkmalen gehören:

  • API und ABI wurden konsolidiert - aktualisierte, veraltete und/oder unbenutzte Symbole wurden entfernt.
  • Die Sonden werden nicht als unabhängige Prozesse, sondern als Threads innerhalb des oscapProzesses ausgeführt.
  • Die Befehlszeilenschnittstelle wurde aktualisiert.
  • Python 2 bindungen wurden durch Python 3Bindungen ersetzt.

(BZ#1614273)

Audit 3.0 ersetzt audispddurch auditd

Mit diesem Update wurde die Funktionalität vonaudispd.... nach auditd..... verschoben. Infolgedessen sind audispdKonfigurationsoptionen nun Teil von auditd.conf. Außerdem wurde das plugins.dVerzeichnis verschoben unter /etc/audit. Der aktuelle Status von auditdund seiner Plugins kann nun durch Ausführen des service auditd stateBefehls überprüft werden.

(BZ#1616428)

rsyslogimfile unterstützt jetzt Symlinks

Mit diesem Update bietet das rsyslog-Modulimfile eine bessere Leistung und mehr Konfigurationsmöglichkeiten. Dies ermöglicht es Ihnen, das Modul für komplexere Anwendungsfälle der Dateiüberwachung zu verwenden. So können Sie beispielsweise Datei-Monitore mit Glob-Mustern an beliebiger Stelle entlang des konfigurierten Pfades verwenden und Symlink-Ziele mit erhöhtem Datendurchsatz drehen.

(BZ#1614179)

Die automatische OpenSSHGenerierung von Serverschlüsseln wird nun von folgenden Personen durchgeführt sshd-keygen@.service

OpenSSH erstellt automatisch RSA-, ECDSA- und ED25519-Server-Hostschlüssel, wenn sie fehlen. Um die Hostschlüsselerstellung in RHEL 8 zu konfigurieren, verwenden Sie den sshd-keygen@.serviceinstanziierten Service.

Zum Beispiel, um die automatische Erstellung des RSA-Schlüsseltyps zu deaktivieren: 

# systemctl mask sshd-keygen@rsa.service

Weitere Informationen finden Sie in der /etc/sysconfig/sshdDatei.

(BZ#1228088)

Das rsyslogStandard-Konfigurationsdateiformat ist nun nicht mehr veraltet

Die Konfigurationsdateien in den rsyslogPaketen verwenden nun standardmäßig das Non-Legacy-Format. Das Legacy-Format kann weiterhin verwendet werden, jedoch hat die Mischung von aktuellen und älteren Konfigurationsanweisungen mehrere Einschränkungen. Konfigurationen, die aus früheren RHEL-Releases übernommen wurden, sollten überarbeitet werden. Weitere Informationen finden Sie in der rsyslog.conf(5)Man Page.

(BZ#1619645)

Neue SELinux-Booleans

Dieses Update der SELinux-Systemrichtlinie führt die folgenden Booleans ein:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

Weitere Informationen finden Sie in der Ausgabe des folgenden Befehls: 

# semanage boolean -l

(JIRA:RHELPLAN-10347)