Chapitre 13. Sécurité

Guide de sécurité SCAP

Le paquet scap-security-guide a été inclus dans Red Hat Enterprise Linux 7.1. Il fournit les lignes directrices de sécurité et les mécanismes de validation correspondants. Des conseils sont spécifiés dans le protocole SCAP (Security Content Automation Protocol), qui constitue un catalogue de conseils de renforcement pratique. Le guide de sécurité SCAP Security Guide contient les données nécessaires pour vérifier la conformité de la sécurité du système avec les normes de politique de sécurité recommandées. Une description écrite ainsi qu'un test automatisé (sonde) sont compris. En automatisant le test, SCAP Security Guide permet de vérifier la conformité du système de manière pratique, efficace et régulière.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

Stratégie SELinux

Dans Red Hat Enterprise Linux 7.1, la politique SELinux a été modifiée ; des services sans leur politique SELinux qui étaient auparavant exécutés dans le domaine init_t sont désormais exécutés dans le nouveau domaine unconfined_service_t. Veuillez consulter le chapitre Processus non-confinés du Guide de l'utilisateur et de l'administrateur SELinux de Red Hat Enterprise Linux 7.1.

Nouvelles fonctionnalités dans OpenSSH

L'ensemble d'outils OpenSSH a été mis à jour à la version 6.6.1p1, qui offre plusieurs nouvelles fonctionnalités liées au chiffrement :
  • L'échange de clé à l'aide de la courbe élliptique Diffie-Hellman dans Curve25519 de Daniel Bernstein est désormais pris en charge. Cette méthode est désormais fournie par défaut et le serveur et le client la prennent en charge.
  • La prise en charge de l'utilisation du schéma de signature de courbe élliptique Ed25519 en tant que type de clé publique a été ajoutée. Ed25519, qui peut être utilisé pour les clés de l'utilisateur et celles de l'hôtes, offre une meilleure sécurité et de meilleures performance que ECDSA et DSA.
  • Un nouveau format de clé privée a été ajouté et utilise la fonction de dérivation de clé (KDF) bcrypt. Par défaut, ce format est utilisé pour les clés Ed25519 mais peut également être requis pour d'autres types de clés.
  • Un nouveau chiffrement de transport, chacha20-poly1305@openssh.com, a été ajouté. Il combine le chiffrement de flux de Daniel Bernstein, ChaCha20, et le code d'authentification de message (MAC) Poly1305.

Nouvelles fonctionnalités dans Libreswan

L'implémentation Libreswan du VPN IPsec a été mise à jour à la version 3.12, qui offre plusieurs nouvelles fonctionnalités et améliorations :
  • De nouveaux chiffrements ont été ajoutés.
  • IKEv2 support has been improved.
  • La prise en charge de chaînes de certificats intermédiaires a été ajoutée dans IKEv1 et IKEv2.
  • La gestion de connexion a été améliorée.
  • L'interopérabilité a été améliorée avec les systèmes OpenBSD, Cisco, et Android.
  • La prise en charge de systemd a été améliorée.
  • La prise en charge a été ajoutée pour CERTREQ haché et les statistiques de trafic.

Nouvelles fonctionnalités dans TNC

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • La prise en charge de l'IMV d'attestation a été améliorée en implémentant un nouvel élément de travail TPMRA.
  • La prise en charg d'une interface de programmation REST basée JSON avec IMV SWID a été ajoutée.
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • Plusieurs bogues ont été corrigés dans les protocoles IF-TNCCS (PB-TNC, IF-M (PA-TNC)), ainsi que dans la paire OS IMC/IMV.

Nouvelles fonctionnalités dans GnuTLS

L'implémentation GnuTLS des protocoles SSL, TLS, et DTLS a été mise à jour à la version 3.3.8, qui offre un certain nombre de nouvelles fonctionnalités et améliorations :
  • La prise en charge de DTLS 1.2 a été ajoutée.
  • La prise en charge ALPN (Application Layer Protocol Negotiation) a été ajoutée.
  • Les performances des suites de chiffrement de courbe elliptique ont été améliorées.
  • De nouvelles suites de chiffrement, RSA-PSK et CAMELLIA-GCM, ont été ajoutées.
  • La prise en charge native du standard TPM (Trusted Platform Module) a été ajoutée.
  • La prise en charge des cartes smart PKCS#11 et des modules HSM (hardware security modules) a été améliorée de plusieurs manières.
  • La conformité avec les standards de sécurité FIPS 140 (Federal Information Processing Standards) a été améliorée de plusieurs manières.