Chapitre 16. Sécurité

Connexions Shell OpenSSH chroot

En général, chaque utilisateur Linux est mappé à un utilisateur SELinux qui utilise une stratégie SELinux, permettant aux utilisateurs Linux d'hériter des restrictions placées sur les utilisateurs SELinux. Il existe un mappage par défaut dans lequel les utilisateurs Linux sont mappés à l'utilisateur SELinux unconfined_u.
Dans Red Hat Enterprise Linux 7, l'option ChrootDirectory pour les utilisateurs souhaitant changer de répertoire racine peut être utilisée avec les utilisateurs non-confinés sans changement, mais pour les utilisateurs confinés comme staff_u, user_u, ou guest_u, la variable SELinux selinuxuser_use_ssh_chroot doit être définie. Les administrateurs sont invités à utiliser l'utilisateur guest_u pour tous les utilisateurs chroot lors de l'utilisation de l'option ChrootDirectory afin d'atteindre un niveau de sécurité plus élevé.

Multiples authentifications requises

Red Hat Enterprise Linux 7.0 prend en charge des authentifications requises de multiples fois dans le protocole SSH version 2 à l'aide de l'option AuthenticationMethods. Cette option répertorie une ou plusieurs liste(s) séparée(s) par des virgules de noms de méthode d'authentification. La réussite de toutes les méthodes dans toute liste est requise pour que l'authentification puisse se terminer. Ceci permet, par exemple, de demander à un utilisateur de devoir s'authentifier à l'aide de la clé publique ou de GSSAPI avant que leur soit offerte l'authentification du mot de passe.

GSS Proxy

GSS Proxy est le service du système qui établit le contexte Kerberos API GSS au nom des autres applications. Ceci offre des avantages pour la sécurité. Par exemple, dans une situation où l'accès au keytab du système est partagé entre différents processus, une attaque réussie contre ce processus conduira à l'imitation Kerberos de tous les autres processus.

Changements dans NSS

Les paquets nss ont été mis à niveau à version en amont 3.15.2. Les signatures MD2 (« Message-Digest algorithm 2 »), MD4 et MD5 ne sont plus acceptées par le protocole OCSP (« Online Certificate Status Protocol ») ou par les listes de révocation de certificats (CRL), ce qui est consistant avec leur gestion pour des signatures de certificats généraux.
La suite de chiffrement AES-GCM (« Advanced Encryption Standard Galois Counter Mode ») (RFC 5288 et RFC 5289) a été ajoutée pour être utilisée lorsque TLS 1.2 est négocié. Plus particulièrement, les suites de chiffrement suivantes sont maintenant prise en charge :
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP Workbench

SCAP Workbench est une interface utilisateur graphique qui fournit une fonctionnalité de scanner pour les contenus SCAP. SCAP Workbench est inclus en tant qu'aperçu technologique dans Red Hat Enterprise Linux 7.0.
Vous trouverez davantage d'informations sur le site web du projet en amont :

Module complémentaire Anaconda OSCAP

Red Hat Enterprise Linux 7.0 offre le module complémentaire Anaconda OSCAP en tant qu'aperçu technologique. Ce module intègre les utilitaires OpenSCAP avec le processus d'installation et permet l'installation du système suivant les restrictions données par un contenu SCAP.