Chapitre 11. Sécurité

Support TLS 1.2 ajouté aux composants du système de base

Avec ces mises à jour, des outils de base, comme Yum, stunnel, vsftp, Git, ou Postfix ont été modifiés pour supporter la version 1.2 du protocole TLS. C'est pour s'assurer que les outils ne soient pas exploités par des agents malveillants compromettant la sécurité sur les anciennes versions du protocole.

NSS utilise maintenant le protocole TLS 1.2 par défaut

Pour pouvoir satisfaire les meilleures pratiques de sécurité, le protocole TLS 1.2 a été activé par défaut dans NSS. Cela signifie qu'il n'est plus utile de l'activer explicitement.

pucurl fournit maintenant les options pour l'utilisation de TLSv1.1 ou 1.2

Avec cette mise à jour, pycurl a été amélioré pour supporter des options qui rendent possible l'utilisation des versions 1.1 ou 1.2 du protocole TLS, ce qui améliore la sécurité de la communication.

Le module PHP cURL supporte maintenant TLS 1.1 et TLS 1.2

Support pour le protocole TLS version 1.1 et 1.2, qui était disponible dans la bibliothèque curl, a été ajouté à l'extension PHP cURL.

openswan déprécié au profit de libreswan

Les paquets openswan sont dépréciés et les paquets libreswan viennent en remplacement direct d'openswan. libreswan est une solution VPN plus stable et plus sûre pour Red Hat Enterprise Linux 6. libreswan est déjà disponible en tant que solution de point de terminaison VPN pour Red Hat Enterprise Linux 7. openswan sera remplacé par libreswan pendant la mise à niveau du système.
Notez que les paquets openswan restent disponibles dans le référentiel. Pour installer openswan à la place de libreswan, utiliser l'option -x de yum pour exclure openswan : yum install openswan -x libreswan.

Support SELinux ajouté à GlusterFS

Avec cette mise à jour, le contrôle d'accès obligatoire SELinux est fourni aux processus glusterd (GlusterFS Management Service) et glusterfsd (serveur NFS) dans le cadre de Red Hat Gluster Storage.

shadow-utils rebasé sur la version 4.1.5.1

Le paquet shadow-utils, qui fournit des utilitaires pour la gestion des utilisateurs et des comptes de groupe, a été redéfini à version 4.1.5.1. C'est la même version de shadow-utils que celle présente dans Red Hat Enterprise Linux 7. Les améliorations incluent un audit amélioré, corrigé pour fournir un meilleur enregistrement des actions de l'administrateur système sur la base de données des comptes d'utilisateur. La nouvelle fonctionnalité principale ajoutée à ce paquet est le support des opérations en environnements chroot avec l'option --root des outils respectifs.

audit rebasé sur la version 2.4.5

Le paquet d'audit, qui fournit les utilitaires d'espace utilisateur pour le stockage et la recherche les enregistrements d'audit générés par le sous-système audit dans le noyau Linux, a été relocalisé à la version 2.4.5. Cette mise à jour inclut des services d'interprétation d'événements améliorés qui fournissent plus de noms d'appel-système et d'arguments pour faciliter la compréhension des événements.
Cette mise à jour comprend également un changement de comportement important dans la façon dont auditd enregistre les événements sur le disque. Si vous utilisez le mode data ou sync pour le paramètre flush dans auditd.conf, vous observerez une diminution de la capacité d'auditd's à enregistrer les événements. C'est parce qu'il n'informait pas le noyau du fait qu'on devait utiliser des écritures synchrones. Cela a été corrigé, ce qui a amélioré la fiabilité de l'opération, mais c'est au détriment de la performance. Si la baisse de performance n'est pas tolérable, le paramètre de configuration flush (vidage) doit être remplacé par incremental et le paramètre freq contrôlera la fréquence avec laquelle auditd chargera le noyau de synchroniser tous les dossiers sur le disque. Un paramètre freq de 100 devrait obtenir de bons résultats tout en garantissant que les nouveaux enregistrements soient vidés dans le disque périodiquement.

LWP supporte maintenant la vérification du nom d'hôte et du certificat

La vérification de certificat et de nom d'hôte, désactivée par défaut, a été implémentée dans la bibliothèque de World Wide Web pour Perl (LWP, également appelée libwww-perl). Cela permet aux utilisateurs du module Perl LWP::UserAgent de vérifier l'identité des serveurs HTTPS. Pour activer la vérification, s'assurer que le module de Perl IO::socket soit bien installé et que la variable d'environnement PERL_LWP_SSL_VERIFY_HOSTNAME soit définie à la valeur 1, ou que la demande soit modifiée pour définir l'option ssl_opts correctement. Pour plus d'informations, consultez LWP::UserAgent POD.

Perl Net:SSLeay supporte maintenant les paramètres curve elliptiques.

Un support des paramètres elliptiques de curve a été ajouté au module Net:SSLeay qui contient les liaisons à la bibliothèque OpenSSL. Les sous-routines EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh(), et OBJ_txt2nid() ont été déplacées de l'amont. Ceci exige le support d'échange de clés ECDHE (Elliptic Curve Diffie–Hellman Exchange) dans le module Perl IO::Socket::SSL.

Perl IO::Socket::SSL supporte maintenant ECDHE

ECDHE (Support for Elliptic Curve Diffie–Hellman Exchange) a été ajouté au module Perl IO::Socket::SSL. La nouvelle option SSL_ecdh_curve peut être utilisée pour spécifier une curve qui convient par OID (Object Identifier) ou NID (Name Identifier). De ce fait, il est possible de remplacer les paramètres curve elliptiques par défaut quand on implémente un client TLS à l'aide de IO::Socket:SSL.

openscap rebasé sur la version 1.2.8

OpenSCAP, un ensemble de bibliothèques ouvrant la voie à l'intégration des standards SCAP, a été redéfini à 1.2.8, la version la plus récente. Des améliorations notables incluent un support aux versions de langues 5.11-ovale et ovale-5.11.1, l'introduction d'un mode verbeux, ce qui permet de comprendre les détails d'exécution des analyses, deux nouvelles commandes, oscap-ssh et oscap-vm, pour la lecture via SSH et la lecture de systèmes virtuels inactifs respectivement, prise en charge native des archives bz2, et une interface moderne pour les rapports et les guides HTML.

scap-workbench rebasé sur la version 1.1.1

Le paquet PAP-workbench a été redéfini en version 1.1.1. Il fournit une nouvelle boîte de dialogue d'intégration du Guide de sécurité SCAP. Cela peut aider l'administrateur à choisir un produit qui doit être scanné au lieu de choisir les fichiers de contenu. La nouvelle version offre également un certain nombre d'améliorations de performance et au niveau expérience utilisateur, notamment au niveau des règles de recherche dans la fenêtre de personnalisation et la possibilité d'aller chercher des ressources distantes de contenu de PAP, à l'aide de l'interface graphique.

scap-security-guide rebasé sur la version 0.1.28

Le paquet pap-sécurity-guide a été rebasé sur la version en amont la plus récente (0.1.28), qui offre un certain nombre d'améliorations et de correctifs importants. Il inclut plusieurs profils améliorés ou complètement nouveaux pour Red Hat Enterprise Linux 6 et 7, ajoute des contrôles automatisés et des scripts de remédiation pour beaucoup de règles, des ID OVAL lisibles par les humains consistents inter versions, ou des guides au format HTML accompagnant chaque profil.

Support pour SSLv3 et RC4 disactivé dans luci

L'utilisation du protocole SSLv3 insécurisé et de l'algorithme RC4 a été désactivée par défaut dans luci, l'application d'administration haute disponibilité basée web. Il est possible de ré-activer SSLv3, mais cela est uniquement réservé aux cas improbables et imprévisibles et doit être utilisé avec une extrême prudence.