5.5. Seguridad

RHEL 8 contiene ahora el perfil DISA STIG

Las Guías Técnicas de Implementación de Seguridad (STIG) son un conjunto de recomendaciones básicas publicadas por la Agencia de Sistemas de Información de Defensa (DISA) para reforzar la seguridad de los sistemas de información y el software que de otro modo podrían ser vulnerables. Esta versión incluye el perfil y el archivo Kickstart para esta política de seguridad. Con esta mejora, los usuarios pueden comprobar la conformidad de los sistemas, remediar los sistemas para que sean conformes e instalar sistemas conformes con DISA STIG para Red Hat Enterprise Linux 8.

(BZ#1755447)

ahora se pueden personalizarlas criptopolíticas

Con esta actualización, puede ajustar ciertos algoritmos o protocolos de cualquier nivel de política o establecer un nuevo archivo de política completo como la política criptográfica actual de todo el sistema. Esto permite a los administradores personalizar la política criptográfica de todo el sistema según lo requieran los diferentes escenarios.

Los paquetes RPM deben almacenar las políticas proporcionadas por ellos en el directorio /usr/share/crypto-policies/policies. El directorio /etc/crypto-policies/policies contiene las políticas locales personalizadas.

Para obtener más información, consulte la sección Políticas personalizadas en la página de manual update-crypto-policies (8 ) y la sección Formato de definición de políticas Crypto en la página de manual update-crypto-policies(8).

(BZ#1690565)

La Guía de Seguridad de SCAP ahora es compatible con ACSC Essential Eight

Los paquetes scap-security-guide proporcionan ahora el perfil de cumplimiento del Australian Cyber Security Centre (ACSC) Essential Eight y un archivo Kickstart correspondiente. Con esta mejora, los usuarios pueden instalar un sistema que se ajuste a esta línea de base de seguridad. Además, pueden utilizar el paquete OpenSCAP para comprobar el cumplimiento de la seguridad y su corrección utilizando esta especificación de controles mínimos de seguridad definidos por el ACSC.

(BZ#1755194)

ya está disponibleoscap-podman para la exploración de la seguridad y el cumplimiento de los contenedores

Esta actualización de los paquetes openscap introduce una nueva utilidad para el escaneo de seguridad y cumplimiento de los contenedores. La herramienta oscap-podman proporciona un equivalente de la utilidad oscap-docker que sirve para escanear contenedores e imágenes de contenedores en RHEL 7.

(BZ#1642373)

setroubleshoot ahora puede analizar y reaccionar a las denegaciones de acceso a execmem

Esta actualización introduce un nuevo plugin setroubleshoot. El plugin puede analizar las denegaciones de acceso a execmem (AVCs) y proporcionar los consejos pertinentes. Como resultado, setroubleshoot ahora puede sugerir la posibilidad de cambiar un booleano si permite el acceso, o informar del problema cuando ningún booleano puede permitir el acceso.

(BZ#1649842)

Nuevos paquetes: setools-gui y setools-console-analyses

El paquete setools-gui, que ha formado parte de RHEL 7, se introduce ahora en RHEL 8. Las herramientas gráficas ayudan a inspeccionar las relaciones y los flujos de datos, especialmente en sistemas de varios niveles con políticas SELinux muy especializadas. Con la herramienta gráfica apol del paquete setools-gui, se pueden inspeccionar y analizar aspectos de una política SELinux. Las herramientas del paquete setools-console-analyses permiten analizar las transiciones de dominio y los flujos de información de las políticas SELinux.

(BZ#1731519)

Los usuarios confinados en SELinux ahora pueden gestionar los servicios de sesión de los usuarios

Anteriormente, los usuarios confinados no podían gestionar los servicios de sesión de usuario. Como resultado, no podían ejecutar los comandos systemctl --user o busctl --user ni trabajar en la consola web de RHEL. Con esta actualización, los usuarios confinados pueden gestionar las sesiones de usuario.

(BZ#1727887)

El servicio lvmdbusd está ahora confinado por SELinux

El servicio lvmdbusd proporciona una API D-Bus al gestor de volúmenes lógicos (LVM). Anteriormente, el demonio lvmdbusd no podía pasar al contexto lvm_t aunque la política SELinux para lvm_t estuviera definida. Como consecuencia, el demonio lvmdbusd se ejecutaba en el dominio unconfined_service_t y SELinux etiquetaba a lvmdbusd como no confinado. Con esta actualización, el archivo ejecutable de lvmdbusd tiene el contexto lvm_exec_t definido y lvmdbusd puede utilizarse ahora correctamente con SELinux en modo de refuerzo.

(BZ#1726166)

semanage ahora soporta el listado y la modificación de puertos SCTP y DCCP.

Anteriormente, semanage port sólo permitía listar y modificar los puertos TCP y UDP. Esta actualización añade el soporte de los protocolos SCTP y DCCP a semanage port. Como resultado, los administradores pueden ahora comprobar si dos máquinas pueden comunicarse a través de SCTP y habilitar completamente las características de SCTP para desplegar con éxito las aplicaciones basadas en SCTP.

(BZ#1563742)

laexportación de semanage ahora muestra las personalizaciones relacionadas con los dominios permisivos

Con esta actualización, la utilidad semanage, que forma parte del paquete policycoreutils para SELinux, es capaz de mostrar las personalizaciones relacionadas con los dominios permisivos. Los administradores del sistema ahora pueden transferir las modificaciones locales permisivas entre máquinas utilizando el comando semanage export.

(BZ#1417455)

udica puede añadir nuevas reglas de permiso generadas a partir de denegaciones de SELinux a la política de contenedores existente

Cuando un contenedor que se ejecuta bajo una política generada por la utilidad udica desencadena una denegación de SELinux, udica es ahora capaz de actualizar la política. El nuevo parámetro -a o --append-rules puede utilizarse para añadir reglas desde un archivo AVC.

(BZ#1732704)

Los nuevos tipos de SELinux permiten que los servicios se ejecuten confinados

Esta actualización introduce nuevos tipos de SELinux que permiten que los siguientes servicios se ejecuten como servicios confinados en el modo de aplicación de SELinux en lugar de ejecutarse en el dominio unconfined_service_t:

  • lldpd ahora se ejecuta como lldpad_t
  • rrdcached ahora se ejecuta como rrdcached_t
  • stratisd ahora se ejecuta como stratisd_t
  • timedatex ahora se ejecuta como timedatex_t

(BZ#1726246, BZ#1726255, BZ#1726259, BZ#1730204)

Clevis es capaz de enumerar las políticas vigentes para un determinado dispositivo LUKS

Con esta actualización, el comando clevis luks list enumera las políticas PBD vigentes para un determinado dispositivo LUKS. Esto facilita la búsqueda de información sobre los pines de la horquilla en uso y la configuración de los pines, por ejemplo, las direcciones del servidor Tang, los detalles de las políticas tpm2 y los umbrales SSS.

(BZ#1766526)

Clevis proporciona nuevos comandos para informar del estado de las llaves y volver a enlazar las llaves caducadas

El comando clevis luks report proporciona ahora una forma sencilla de informar si las claves de un determinado enlace requieren rotación. Las rotaciones regulares de las claves en un servidor Tang mejoran la seguridad de los despliegues de Network-Bound Disk Encryption (NBDE), y por lo tanto el cliente debe proporcionar la detección de las claves caducadas. Si la clave está caducada, Clevis sugiere utilizar el comando clevis luks regen que vuelve a enlazar la ranura de la clave caducada con una clave actual. Esto simplifica significativamente el proceso de rotación de claves.

(BZ#1564559, BZ#1564566)

Ahora Clevis puede extraer la frase de contraseña utilizada para vincular una ranura concreta en un dispositivo LUKS

Con esta actualización del marco de descifrado basado en políticas de Clevis, ahora se puede extraer la frase de contraseña utilizada para vincular una ranura concreta en un dispositivo LUKS. Anteriormente, si se borraba la frase de contraseña de instalación de LUKS, Clevis no podía realizar tareas administrativas de LUKS, como volver a cifrar, habilitar una nueva ranura de clave con una frase de contraseña de usuario y volver a vincular Clevis cuando el administrador necesita cambiar el umbral sss. Esta actualización introduce el comando clevis luks pass que muestra la frase de contraseña utilizada para vincular una ranura concreta.

(BZ#1436780)

Clevis proporciona ahora un soporte mejorado para descifrar múltiples dispositivos LUKS en el arranque

Los paquetes clevis han sido actualizados para proporcionar un mejor soporte para descifrar múltiples dispositivos cifrados por LUKS en el arranque. Antes de esta mejora, el administrador tenía que realizar complicados cambios en la configuración del sistema para permitir el descifrado adecuado de múltiples dispositivos por parte de Clevis en el arranque. Con esta versión, puede configurar el descifrado utilizando el comando clevis luks bind y actualizando el initramfs mediante el comando dracut -fv --regenerate-all.

Para más detalles, consulte la sección Configuración del desbloqueo automático de volúmenes encriptados mediante el descifrado basado en políticas.

(BZ#1784524)

openssl-pkcs11 rebasado a 0.4.10

El paquete openssl-pkcs11 ha sido actualizado a la versión 0.4.10, que proporciona muchas correcciones de errores y mejoras respecto a la versión anterior. El paquete openssl-pkcs11 proporciona acceso a los módulos PKCS #11 a través de la interfaz del motor. Los principales cambios introducidos por la nueva versión son:

  • Si un objeto de clave pública correspondiente a la clave privada no está disponible al cargar una clave privada ECDSA, el motor carga la clave pública de un certificado coincidente, si está presente.
  • Puede utilizar un URI PKCS #11 genérico (por ejemplo pkcs11:type=public) porque el motor openssl-pkcs11 busca todos los tokens que coincidan con un URI PKCS #11 determinado.
  • El sistema intenta iniciar la sesión con un PIN sólo si un único dispositivo coincide con la búsqueda URI. Esto evita los fallos de autenticación debidos a que se proporciona el PIN a todos los tokens que coinciden.
  • Al acceder a un dispositivo, el motor openssl-pkcs11 marca ahora la estructura de métodos RSA con la bandera RSA_FLAG_FIPS_METHOD. En el modo FIPS, OpenSSL requiere que la bandera se establezca en la estructura de métodos RSA. Tenga en cuenta que el motor no puede detectar si un dispositivo está certificado por FIPS.

(BZ#1745082)

rsyslog rebasado a 8.1911.0

La utilidad rsyslog se ha actualizado a la versión 8.1911.0, que proporciona una serie de correcciones de errores y mejoras con respecto a la versión anterior. La siguiente lista incluye mejoras notables:

  • El nuevo módulo omhttp permite enviar mensajes a través de la interfaz HTTP REST.
  • El módulo de entrada de archivos se ha mejorado para aumentar la estabilidad, la notificación de errores y la detección de truncamientos.
  • El nuevo parámetro action.resumeIntervalMax, que puede utilizarse con cualquier acción, permite limitar el crecimiento del intervalo de reintentos a un valor determinado.
  • La nueva opción StreamDriver.PermitExpiredCerts para TLS permite las conexiones incluso si un certificado ha expirado.
  • Ahora puede suspender y reanudar la salida basándose en el contenido del archivo externo configurado. Esto es útil en los casos en los que el otro extremo siempre acepta los mensajes y los abandona silenciosamente cuando no es capaz de procesarlos todos.
  • Se ha mejorado el informe de errores del módulo de salida de archivos y ahora contiene nombres de archivos reales y más información sobre las causas de los errores.
  • Las colas de disco ahora se ejecutan con varios hilos, lo que mejora el rendimiento.
  • Puede establecer modos de funcionamiento TLS más estrictos: comprobación del campo de certificado extendedKeyUsage y comprobación más estricta de los campos de certificado CN/SAN.

(BZ#1740683)

rsyslog ahora proporciona el plugin omhttp para la comunicación a través de una interfaz HTTP REST

Con esta actualización de los paquetes rsyslog, puede utilizar el nuevo plugin omhttp para producir una salida compatible con los servicios que utilizan una API de transferencia de estado representativa (REST), como la plataforma de almacenamiento Ceph, Amazon Simple Storage Service (Amazon S3) y Grafana Loki. Este nuevo módulo de salida HTTP proporciona una ruta REST configurable y un formato de mensaje, soporte para varios formatos de lotes, compresión y encriptación TLS.

Para más detalles, consulte el archivo /usr/share/doc/rsyslog/html/configuration/modules/omhttp.html instalado en su sistema con el paquete rsyslog-doc.

(BZ#1676559)

omelasticsearch en rsyslog ahora soporta rebindinterval

Esta actualización de los paquetes rsyslog introduce el soporte para configurar el tiempo de reconexión periódica en el módulo omelasticsearch. Puede mejorar el rendimiento al enviar registros a un clúster de nodos de Elasticsearch configurando este parámetro de acuerdo con su escenario. El valor del parámetro rebindinterval indica el número de operaciones enviadas a un nodo después del cual rsyslog cierra la conexión y establece una nueva. El valor por defecto -1 significa que rsyslog no restablece la conexión.

(BZ#1692073)

rsyslog mmkubernetes ahora proporciona la expiración de la caché de metadatos

Con esta actualización de los paquetes rsyslog, puede utilizar dos nuevos parámetros para el módulo mmkubernetes para establecer la caducidad de la caché de metadatos. Esto garantiza que los objetos de Kubernetes eliminados se eliminen de la caché estática de mmkubernetes. El valor del parámetro cacheentryttl indica la edad máxima de las entradas de la caché en segundos. El parámetro cacheexpireinterval tiene los siguientes valores:

  • -1 para desactivar la comprobación de la caducidad de la caché
  • 0 para activar la comprobación de la caducidad de la caché
  • mayor que 0 para las comprobaciones periódicas de la caducidad de la caché en segundos

(BZ#1692072)

auditoría basada en la versión 3.0-0.14

Los paquetes de auditoría se han actualizado a la versión 3.0-0.14, que proporciona muchas correcciones de errores y mejoras con respecto a la versión anterior, sobre todo:

  • Se ha añadido una opción para interpretar los campos en el plugin de syslog
  • Dividido el archivo 30-ospp-v42.rules en archivos más granulares
  • Mover las reglas de ejemplo al directorio /usr/share/audit/sample-rules/
  • Corregido el modo de transporte de la Auditoría KRB5 para el registro remoto

(BZ#1757986)

La auditoría contiene ahora muchas mejoras del kernel v5.5-rc1

Esta adición al kernel de Linux contiene la mayoría de las mejoras, correcciones de errores y limpiezas relacionadas con el subsistema de auditoría e introducidas entre la versión 4.18 y la 5.5-rc1. La siguiente lista destaca los cambios importantes:

  • Uso más amplio del campo exe para el filtrado
  • Compatibilidad con las capacidades namespaced de la v3
  • Mejoras en el filtrado de sistemas de archivos remotos
  • Fijación de la regla del filtro gid
  • Correcciones de una corrupción de memoria de uso después de libre y de fugas de memoria
  • Mejoras en la asociación de registros de eventos
  • Limpieza de la interfaz fanoticy, de las opciones de configuración de la auditoría y de la interfaz syscall
  • Fijación del valor de retorno del módulo de verificación ampliado (EVM)
  • Correcciones y limpiezas de varios formatos de registro
  • Simplificaciones y correcciones de la auditoría del sistema de archivos virtuales (VFS)

(BZ#1716002)

fapolicyd rebasado a 0.9.1-2

Los paquetes fapolicyd que proporcionan la lista blanca de aplicaciones de RHEL han sido actualizados a la versión 0.9.1-2. Entre las mejoras y correcciones de errores más destacadas se encuentran:

  • La identificación del proceso es fija.
  • La parte del sujeto y la parte del objeto se colocan ahora estrictamente en la regla. Ambas partes están separadas por dos puntos, y contienen el permiso requerido (ejecutar, abrir, cualquiera).
  • Se consolidan los atributos de sujeto y objeto.

  • El nuevo formato de las reglas es el siguiente: 

    PERMISO DE DECISIÓN SUJETO : OBJETO

    Por ejemplo: 

    allow perm=open exe=/usr/bin/rpm : all

(BZ#1759895)

sudo rebasado a 1.8.29-3.el8

los paquetessudo han sido actualizados a la versión 1.8.29-3, que proporciona una serie de correcciones de errores y mejoras respecto a la versión anterior. Los principales cambios introducidos por la nueva versión son:

  • sudo ahora escribe los mensajes del Pluggable Authentication Module (PAM) en la terminal del usuario, si está disponible, en lugar de la salida estándar o la salida de error estándar. Esto evita la posible confusión de la salida PAM y la salida de comandos enviada a archivos y tuberías.
  • Las opciones notBefore y notAfter de LDAP y SSSD ahora funcionan y se muestran correctamente con el comando sudo -l.
  • El comando cvtsudoers ahora rechaza las entradas que no sean del formato de intercambio de datos LDAP (LDIF) al convertir de LDIF a los formatos sudoers y JSON.
  • Con las nuevas configuraciones log_allowed y log_denied para los sudoers, puedes desactivar el registro y la auditoría de los comandos permitidos y denegados.
  • Ahora puede utilizar sudo con la opción -g para especificar un grupo que coincida con cualquiera de los grupos del usuario de destino, incluso si no hay grupos presentes en la especificación de runas_spec. Anteriormente, sólo se podía hacer si el grupo coincidía con el grupo principal del usuario de destino.
  • Se ha corregido un error que impedía a sudo hacer coincidir el nombre del host con el valor de ipa_hostname de sssd.conf, si se especificaba.
  • Se ha corregido una vulnerabilidad que permitía a un usuario sudo ejecutar un comando como root cuando la especificación Runas no permitía el acceso de root con la palabra clave ALL (CVE-2019-14287).
  • El uso de IDs de usuarios y grupos desconocidos para las entradas de sudoers permisivos, por ejemplo usando la palabra clave ALL, está ahora deshabilitado. Puede habilitarlo con el ajuste runas_allow_unknown_id (CVE-2019-19232).

(BZ#1733961)

El módulo pam_namespace ahora permite especificar opciones de montaje adicionales para tmpfs

Las opciones de montaje nosuid, noexec y nodev pueden utilizarse ahora en el archivo de configuración /etc/security/namespace.conf para desactivar, respectivamente, el efecto del bit setuid, desactivar la ejecución de ejecutables y evitar que los archivos se interpreten como dispositivos de carácter o de bloque en el sistema de archivos tmpfs montado.

Las opciones de montaje adicionales se especifican en la página man de tmpfs(5).

(BZ#1252859)

pam_faillock ahora puede leer los ajustes del archivo de configuración faillock.conf

El módulo pam_faillock, que forma parte de los módulos de autenticación enchufables (PAM), ahora puede leer los ajustes del archivo de configuración ubicado en /etc/security/faillock.conf. Esto facilita la configuración de un bloqueo de cuenta en caso de fallos de autenticación, proporcionar perfiles de usuario para esta funcionalidad y manejar diferentes configuraciones de PAM simplemente editando el archivo faillock.conf.

(BZ#1537242)