4.14. Seguridad (traducción automática)

El perfil PCI-DSS de la Guía de Seguridad SCAP se alinea con la versión 3.2.1

El SCAP Security Guideproyecto proporciona el perfil PCI-DSS (Payment Card Industry Data Security Standard) para Red Hat Enterprise Linux 8 y ha sido actualizado para alinearlo con la última versión PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH ha vuelto a basar en la versión 7.8p1

Los opensshpaquetes han sido actualizados a la versión 7.8p1. Los cambios notables incluyen:

  • Se ha eliminado el soporte para el SSH version 1protocolo.
  • Se ha eliminado el soporte para el código de autenticación de hmac-ripemd160mensajes.
  • Eliminado el soporte para RC4 (arcfour) cifrado.
  • Eliminado el soporte para las Blowfishcifras.
  • Eliminado el soporte para las CASTcifras.
  • Cambiado el valor por defecto de la UseDNSopción a no.
  • Algoritmos de clave pública desactivados DSApor defecto.
  • Cambiado el tamaño mínimo del módulo para los Diffie-Hellmanparámetros a 2048 bits.
  • Cambiada la semántica de la opción de ExposeAuthInfoconfiguración.
  • La UsePrivilegeSeparation=sandboxopción es ahora obligatoria y no se puede desactivar.
  • Configure el tamaño mínimo aceptado RSAde la clave en 1024 bits.

(BZ#1622511)

RSA-PSS está ahora soportado en OpenSC

Esta actualización añade soporte para el esquema de firma criptográfica RSA-PSS al controlador de la tarjeta OpenSCinteligente. El nuevo esquema permite un algoritmo criptográfico seguro requerido para el soporte de TLS 1.3 en el software cliente.

(BZ#1595626)

Cambios notables en rsyslogRHEL 8

Los rsyslogpaquetes han sido actualizados a la versión 8.37.0, que proporciona muchas correcciones y mejoras con respecto a las versiones anteriores. Los cambios más notables incluyen

  • Mejora del procesamiento de los mensajes internos de rsyslog; posibilidad de limitar la velocidad de los mensajes; se ha corregido un posible punto muerto.
  • Mejora de la limitación de la velocidad en general; la fuente real de spam se registra ahora.
  • Manejo mejorado de mensajes de gran tamaño - el usuario puede ahora establecer cómo tratarlos tanto en el núcleo como en ciertos módulos con acciones separadas.
  • mmnormalize las bases de reglas ahora pueden ser incrustadas en el configarchivo en lugar de crear archivos separados para ellas.
  • El usuario ahora puede configurar la cadena de prioridad de GnuTLS para imtcpque permita un control detallado sobre el cifrado.
  • Todas configlas variables, incluyendo las variables en JSON, son ahora insensibles a mayúsculas y minúsculas.
  • Varias mejoras en la salida de PostgreSQL.
  • Añadida la posibilidad de usar variables shell para controlar configel procesamiento, como la carga condicional de archivos de configuración adicionales, la ejecución de sentencias o la inclusión de un texto en config. Tenga en cuenta que un uso excesivo de esta característica puede hacer que sea muy difícil depurar problemas con rsyslog.
  • Los modos de creación de archivos de 4 dígitos se pueden especificar ahora en config.
  • La entrada Relp (Relief Event Logging Protocol) ahora puede enlazar también sólo en una dirección especificada.
  • El valor predeterminado de la enable.bodyopción de salida de correo ahora está alineado con la documentación
  • El usuario puede ahora especificar códigos de error de inserción que deben ser ignorados en la salida de MongoDB.
  • La entrada paralela TCP (pTCP) tiene ahora el retraso configurable para un mejor balanceo de carga.

(BZ#1613880)

Nuevo módulo rsyslog: omkafka

Para habilitar los escenarios de almacenamiento de datos centralizado de kafka, ahora puede reenviar los registros a la infraestructura de kafka utilizando el nuevo omkafkamódulo.

(BZ#1542497)

libssh implementa SSH como un componente criptográfico central

Este cambio se introduce libsshcomo un componente criptográfico central en Red Hat Enterprise Linux 8. La libsshbiblioteca implementa el protocolo Secure SHell (SSH).

Tenga en cuenta que libsshno cumple con la política de cifrado de todo el sistema.

(BZ#1485241)

El soporte de PKCS #11 para tarjetas inteligentes y HSM ahora es consistente en todo el sistema

Con esta actualización, el uso de tarjetas inteligentes y módulos de seguridad de hardware (HSM) con interfaz de token criptográfico PKCS #11 se vuelve consistente. Esto significa que el usuario y el administrador pueden utilizar la misma sintaxis para todas las herramientas relacionadas en el sistema. Las mejoras notables incluyen:

  • Soporte para el esquema PKCS #11 Uniform Resource Identifier (URI) que asegura una habilitación simplificada de tokens en servidores RHEL tanto para administradores como para escritores de aplicaciones.
  • Un método de registro a nivel de sistema para tarjetas inteligentes y HSM que utilizan elpkcs11.conf...
  • Soporte consistente para HSMs y tarjetas inteligentes está disponible en aplicaciones NSS, GnuTLS y OpenSSL (a través del openssl-pkcs11motor).
  • El servidor HTTP Apache (httpd) ahora soporta sin problemas los HSM.

Para obtener más información, consulte la página de pkcs11.conf(5)manual.

(BZ#1516741)

Las políticas criptográficas de todo el sistema se aplican por defecto

Crypto-policies es un componente de Red Hat Enterprise Linux 8, que configura los principales subsistemas criptográficos, cubriendo los protocolos TLS, IPSec, SSH, DNSSec y Kerberos. Proporciona un pequeño conjunto de políticas, que el administrador puede seleccionar utilizando el update-crypto-policiescomando.

La política criptográfica de todo DEFAULTel sistema ofrece una configuración segura para los modelos de amenazas actuales. Permite los protocolos TLS 1.2 y 1.3, así como los protocolos IKEv2 y SSH2. Las claves RSA y los parámetros Diffie-Hellman se aceptan si son mayores de 2047 bits.

Vea el Consistent security by crypto policies in Red Hat Enterprise Linux 8artículo en el Blog de Red Hat y la página de update-crypto-policies(8)manual para más información.

(BZ#1591620)

La Guía de seguridad SCAP es compatible con OSPP 4.2

SCAP Security Guide proporciona un borrador del perfil OSPP (Protection Profile for General Purpose Operating Systems) versión 4.2 para Red Hat Enterprise Linux 8. Este perfil refleja los controles de configuración obligatorios identificados en el Anexo de Configuración NIAP del Perfil de Protección para Sistemas Operativos de Propósito General (Perfil de Protección Versión 4.2). SCAP Security Guide proporciona comprobaciones y scripts automatizados que permiten a los usuarios cumplir con los requisitos definidos en el OSPP.

(BZ#1618518)

Se ha mejorado la interfaz de línea de comandos de OpenSCAP

El modo detallado está ahora disponible en todos oscaplos módulos y submódulos. La salida de la herramienta ha mejorado el formateo.

Se han eliminado las opciones desaprobadas para mejorar la usabilidad de la interfaz de la línea de comandos.

Las siguientes opciones ya no están disponibles:

  • --show in oscap xccdf generate reportha sido completamente eliminado.
  • --probe-root en oscap oval evalha sido removido. Puede ser sustituido por el ajuste de la variable de entorno, OSCAP_PROBE_ROOT.
  • --sce-results in oscap xccdf evalse ha sustituido por --check-engine-results
  • validate-xml el submódulo ha sido eliminado de los módulos CPE, OVAL y XCCDF. Los validatesubmódulos pueden ser usados en su lugar para validar el contenido SCAP contra los esquemas XML y los patrones XSD.
  • oscap oval list-probes se ha eliminado, la lista de sondas disponibles puede mostrarse en su oscap --versionlugar.

OpenSCAP permite evaluar todas las reglas en un punto de referencia XCCDF dado, independientemente del perfil, mediante el uso de --profile '(all)'.

(BZ#1618484)

Soporte para una nueva comprobación de permisos de mapa en la mmapllamada al sistema

Se ha añadido el mappermiso SELinux para controlar el acceso asignado a la memoria a archivos, directorios, sockets, etc. Esto permite que la política SELinux impida el acceso directo a la memoria de varios objetos del sistema de archivos y asegure que cada uno de estos accesos sea revalidado.

(BZ#1592244)

SELinux ahora soporta systemd No New Privileges

Esta actualización introduce la capacidad de nnp_nosuid_transitionpolítica que permite las transiciones de dominio de SELinux bajo (NNPNo New Privileges) o nosuidsi nnp_nosuid_transitionse permite entre el contexto antiguo y el nuevo. Los selinux-policypaquetes ahora contienen una política para los servicios systemd que utilizan la función de NNPseguridad.

La siguiente regla describe cómo permitir esta capacidad para un servicio:

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Por ejemplo:

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La política de distribución contiene ahora también la interfaz de la macro m4, que puede ser utilizada en las políticas de seguridad de SELinux para los servicios que utilizan la init_nnp_daemon_domain()función.

(BZ#1594111)

SELinux ahora soporta getrlimitpermisos en la processclase

Esta actualización introduce un nuevo control de acceso SELinux, process:getrlimitque se ha añadido para la prlimit()función. Esto permite a los desarrolladores de políticas de SELinux controlar cuándo un proceso intenta leer y luego modificar los límites de recursos de otro proceso utilizando el process:setrlimitpermiso. Tenga en cuenta que SELinux no restringe un proceso de manipular sus propios límites de recursos a través de prlimit(). Vea las páginas prlimit(2)y getrlimit(2)man para más información.

(BZ#1549772)

Soporte de TLS 1.3 en librerías criptográficas

Esta actualización permite Transport Layer Security (TLS) 1.3 de forma predeterminada en todas las principales bibliotecas criptográficas de back-end. Esto permite una baja latencia en toda la capa de comunicaciones del sistema operativo y mejora la privacidad y seguridad de las aplicaciones al aprovechar los nuevos algoritmos, como RSA-PSS o X25519.

(BZ#1516728)

Novedades en OpenSCAPRHEL 8

La OpenSCAPsuite ha sido actualizada a la versión 1.3.0, que introduce muchas mejoras con respecto a las versiones anteriores. Las características más notables incluyen:

  • API y ABI se han consolidado - se han eliminado los símbolos actualizados, obsoletos y/o no utilizados.
  • Las sondas no se ejecutan como procesos independientes, sino como roscas dentro del oscapproceso.
  • La interfaz de la línea de comandos ha sido actualizada.
  • Python 2 las fijaciones han sido reemplazadas por Python 3fijaciones.

(BZ#1614273)

Audit 3.0 reemplaza audispdcon auditd

Con esta actualización, la funcionalidad de audispdse ha movido a auditd. Como resultado, las opciones de audispdconfiguración son ahora parte de auditd.conf. Además, el plugins.ddirectorio se ha movido bajo /etc/audit. El estado actual de los plug-ins auditdy sus plug-ins se puede comprobar ejecutando el service auditd statecomando.

(BZ#1616428)

rsyslog imfileahora soporta symlinks

Con esta actualización, el imfilemódulo rsyslog ofrece un mejor rendimiento y más opciones de configuración. Esto le permite utilizar el módulo para casos de uso más complicados de monitorización de archivos. Por ejemplo, ahora puede utilizar monitores de archivos con patrones glob en cualquier lugar a lo largo de la ruta configurada y rotar objetivos symlink con un mayor rendimiento de datos.

(BZ#1614179)

La generación automática de las claves del OpenSSHservidor es ahora manejada por sshd-keygen@.service

OpenSSH crea automáticamente las claves de host de servidor RSA, ECDSA y ED25519 si faltan. Para configurar la creación de la clave del host en RHEL 8, utilice el servicio sshd-keygen@.serviceinstanciado.

Por ejemplo, para desactivar la creación automática del tipo de clave RSA:

# systemctl mask sshd-keygen@rsa.service

Vea el /etc/sysconfig/sshdarchivo para más información.

(BZ#1228088)

El formato de archivo de rsyslogconfiguración predeterminado es ahora no heredado

Los archivos de configuración en los rsyslogpaquetes ahora usan el formato no-legacy por defecto. El formato heredado puede seguir utilizándose, sin embargo, la mezcla de sentencias de configuración actuales y heredadas tiene varias limitaciones. Las configuraciones realizadas desde versiones anteriores de RHEL deben ser revisadas. Vea la página de rsyslog.conf(5)manual para más información.

(BZ#1619645)

Nuevo SELinux booleans

Esta actualización de la política del sistema SELinux introduce los siguientes booleanos:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

Para más detalles, vea la salida del siguiente comando:

# semanage boolean -l

(JIRA:RHELPLAN-10347)