Red Hat Training

A Red Hat training course is available for RHEL 8

4.14. Sécurité (traduction automatique)

Le profil PCI-DSS du guide de sécurité SCAP s'aligne sur la version 3.2.1

Le SCAP Security Guideprojet fournit le profil PCI-DSS (Payment Card Industry Data Security Standard) pour Red Hat Enterprise Linux 8 et a été mis à jour pour s'aligner avec la dernière version PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH est rebasé sur la version 7.8p1

Les opensshpaquets ont été mis à jour vers la version amont 7.8p1. Parmi les changements notables, mentionnons :

  • Suppression du support pour le SSH version 1protocole.
  • Suppression de la prise en charge du code d'authentification des hmac-ripemd160messages.
  • Suppression de la prise en charge des chiffres RC4 (arcfour).
  • Suppression de la prise en charge des Blowfishchiffres.
  • Suppression de la prise en charge des CASTchiffres.
  • Modifié la valeur par défaut de l'UseDNSoption en no.
  • Algorithmes à clé publique désactivés DSApar défaut.
  • Changement de la taille minimale du module pour les Diffie-Hellmanparamètres à 2048 bits.
  • Modification de la sémantique de l'option de ExposeAuthInfoconfiguration.
  • L'UsePrivilegeSeparation=sandboxoption est maintenant obligatoire et ne peut pas être désactivée.
  • Réglez la taille minimale de clé acceptée RSAà 1024 bits.

(BZ#1622511)

RSA-PSS est maintenant supporté dans OpenSC

Cette mise à jour ajoute la prise en charge du schéma de signature cryptographique RSA-PSS au pilote de carte à OpenSCpuce. Le nouveau schéma permet un algorithme cryptographique sécurisé requis pour le support TLS 1.3 dans le logiciel client.

(BZ#1595626)

Changements notables dans rsyslogRHEL 8

Les rsyslogpaquets ont été mis à jour vers la version amont 8.37.0, qui fournit de nombreuses corrections de bogues et améliorations par rapport aux versions précédentes. Les changements les plus notables sont les suivants :

  • Amélioration du traitement des messages internes de rsyslog ; possibilité de limiter leur débit ; possibilité de blocage corrigé.
  • Amélioration de la limitation du débit en général ; la source de spam est maintenant enregistrée.
  • Amélioration du traitement des messages surdimensionnés - l'utilisateur peut désormais définir comment les traiter dans le noyau et dans certains modules avec des actions séparées.
  • mmnormalize peuvent maintenant être incorporées dans le configfichier au lieu de créer des fichiers séparés pour elles.
  • L'utilisateur peut maintenant définir la chaîne de priorité GnuTLS imtcpqui permet un contrôle fin du cryptage.
  • Toutes configles variables, y compris les variables dans JSON, sont maintenant insensibles à la casse.
  • Diverses améliorations de la sortie PostgreSQL.
  • Ajout de la possibilité d'utiliser des variables shell pour contrôler configle traitement, comme le chargement conditionnel de fichiers de configuration supplémentaires, l'exécution d'instructions ou l'inclusion d'un texte dans config. Notez qu'une utilisation excessive de cette fonctionnalité peut rendre très difficile le débogage des problèmes avec rsyslog.
  • Les modes de création de fichiers à 4 chiffres peuvent maintenant être spécifiés dans config.
  • L'entrée RELP (Reliable Event Logging Protocol) ne peut désormais s'engager que sur une adresse spécifiée.
  • La valeur par défaut de l'enable.bodyoption de sortie de mail est maintenant alignée sur la documentation
  • L'utilisateur peut maintenant spécifier les codes d'erreur d'insertion qui doivent être ignorés dans la sortie MongoDB.
  • L'entrée TCP parallèle (pTCP) a maintenant l'arriéré configurable pour un meilleur équilibrage de charge.

(BZ#1613880)

Nouveau module rsyslog : omkafka

Pour activer les scénarios de stockage centralisé de données kafka, vous pouvez maintenant transférer les logs vers l'infrastructure kafka en utilisant le nouveau omkafkamodule.

(BZ#1542497)

libssh implémente SSH en tant que composant cryptographique central

Ce changement introduit libsshcomme composant cryptographique central dans Red Hat Enterprise Linux 8. La libsshbibliothèque implémente le protocole Secure SHell (SSH).

Notez que cela libsshn'est pas conforme à la politique de cryptage à l'échelle du système.

(BZ#1485241)

Le support PKCS #11 pour les cartes à puce et les HSM est maintenant cohérent dans tout le système

Avec cette mise à jour, l'utilisation de cartes à puce et de Hardware Security Modules (HSM) avec interface cryptographique PKCS #11 devient cohérente. Cela signifie que l'utilisateur et l'administrateur peuvent utiliser la même syntaxe pour tous les outils associés dans le système. Parmi les améliorations notables, mentionnons :

  • Prise en charge du schéma PKCS #11 Uniform Resource Identifier (URI) qui garantit une activation simplifiée des jetons sur les serveurs RHEL tant pour les administrateurs que pour les rédacteurs d'applications.
  • Une méthode d'enregistrement à l'échelle du système pour les cartes à puce et les HSM utilisant la technologie pkcs11.conf.
  • La prise en charge cohérente des HSM et des cartes à puce est disponible dans les applications NSS, GnuTLS et OpenSSL (via le openssl-pkcs11moteur).
  • Le serveur HTTP Apache (httpd) supporte désormais de manière transparente les HSMs.

Pour plus d'informations, voir la page de pkcs11.conf(5)manuel.

(BZ#1516741)

Les politiques cryptographiques à l'échelle du système sont appliquées par défaut

Crypto-policies est un composant de Red Hat Enterprise Linux 8, qui configure les sous-systèmes cryptographiques centraux, couvrant les protocoles TLS, IPSec, SSH, DNSSec et Kerberos. Il fournit un petit ensemble de règles que l'administrateur peut sélectionner à l'aide de la update-crypto-policiescommande.

La politique cryptographique à l'DEFAULTéchelle du système offre des paramètres sécurisés pour les modèles de menaces actuels. Il permet les protocoles TLS 1.2 et 1.3, ainsi que les protocoles IKEv2 et SSH2. Les clés RSA et les paramètres Diffie-Hellman sont acceptés si supérieurs à 2047 bits.

Voir l'Consistent security by crypto policies in Red Hat Enterprise Linux 8article sur le blog Red Hat et la page de update-crypto-policies(8)manuel pour plus d'informations.

(BZ#1591620)

Le guide de sécurité SCAP prend en charge OSPP 4.2

SCAP Security Guide fournit une version préliminaire du profil OSPP (Protection Profile for General Purpose Operating Systems) version 4.2 pour Red Hat Enterprise Linux 8. Ce profil reflète les contrôles de configuration obligatoires identifiés dans l'Annexe sur la configuration NIAP du Profil de protection des systèmes d'exploitation à usage général (Profil de protection version 4.2). SCAP Security Guide fournit des contrôles et des scripts automatisés qui permettent aux utilisateurs de répondre aux exigences définies dans le OSPP.

(BZ#1618518)

L'interface de ligne de commande OpenSCAP a été améliorée

Le mode verbeux est maintenant disponible dans tous oscaples modules et sous-modules. La sortie de l'outil a amélioré le formatage.

Les options obsolètes ont été supprimées pour améliorer la convivialité de l'interface en ligne de commande.

Les options suivantes ne sont plus disponibles :

  • --show oscap xccdf generate reporta été complètement supprimée.
  • --probe-root in oscap oval evala été enlevé. Il peut être remplacé par le réglage de la variable d'environnement, OSCAP_PROBE_ROOT.
  • --sce-results in oscap xccdf evala été remplacé par --check-engine-results
  • validate-xml a été supprimé des modules CPE, OVAL et XCCDF. Les validatesous-modules peuvent être utilisés pour valider le contenu SCAP par rapport aux schémas XML et XSD.
  • oscap oval list-probes a été supprimée, la liste des sondes disponibles peut être affichée à la oscap --versionplace.

OpenSCAP permet d'évaluer toutes les règles d'un benchmark XCCDF donné quel que soit le profil en utilisant --profile '(all)'.

(BZ#1618484)

Prise en charge d'un nouveau contrôle de permission de carte sur le mmapsyscall

L'autorisation SELinux mapa été ajoutée pour contrôler l'accès aux fichiers, répertoires, sockets, etc. mappés en mémoire. Cela permet à la politique SELinux d'empêcher l'accès direct en mémoire à divers objets du système de fichiers et de s'assurer que chacun de ces accès est revalidé.

(BZ#1592244)

SELinux supporte désormais systemd No New Privileges

Cette mise à jour introduit la capacité de nnp_nosuid_transitionpolitique qui permet les transitions de domaine SELinux sous (NNPNo New Privileges) ou nosuidsi nnp_nosuid_transitionelle est autorisée entre l'ancien et le nouveau contexte. Les selinux-policypaquets contiennent maintenant une stratégie pour les services système qui utilisent la fonction de NNPsécurité.

La règle suivante décrit l'autorisation de cette capacité pour un service : 

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Par exemple : 

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La politique de distribution contient maintenant aussi l'interface macro m4, qui peut être utilisée dans les politiques de sécurité SELinux pour les services qui utilisent cette init_nnp_daemon_domain()fonction.

(BZ#1594111)

SELinux supporte maintenant la getrlimitpermission dans la processclasse

Cette mise à jour introduit un nouveau contrôle d'accès SELinuxprocess:getrlimit, qui a été ajouté pour cette prlimit()fonction. Cela permet aux développeurs de stratégies SELinux de contrôler quand un processus tente de lire puis de modifier les limites de ressources d'un autre processus en utilisant l'process:setrlimitautorisation. Notez que SELinux n'empêche pas un processus de manipuler ses propres limites de ressources par prlimit(). Voir les pages de manuel prlimit(2)et getrlimit(2)pour plus d'informations.

(BZ#1549772)

Prise en charge de TLS 1.3 dans les bibliothèques cryptographiques

Cette mise à jour active Transport Layer Security (TLS) 1.3 par défaut dans toutes les principales cryptothèques back-end. Cela permet une faible latence à travers la couche de communication du système d'exploitation et améliore la confidentialité et la sécurité des applications en tirant parti des nouveaux algorithmes, tels que RSA-PSS ou X25519.

(BZ#1516728)

Nouvelles fonctionnalités dans OpenSCAPRHEL 8

La OpenSCAPsuite a été mise à jour vers la version amont 1.3.0, qui introduit de nombreuses améliorations par rapport aux versions précédentes. Les caractéristiques les plus notables incluent :

  • L'API et l'ABI ont été consolidés - les symboles mis à jour, obsolètes et/ou inutilisés ont été supprimés.
  • Les sondes ne sont pas exécutées comme des processus indépendants, mais comme des threads dans le oscapprocessus.
  • L'interface en ligne de commande a été mise à jour.
  • Python 2 les fixations ont été remplacées par Python 3des fixations.

(BZ#1614273)

La version 3.0 de la vérification remplace audispdla version 3.0 par la version auditd

Avec cette mise à jour, la fonctionnalité de audispda été déplacée vers auditd. En conséquence, les options de audispdconfiguration font désormais partie de auditd.conf. De plus, le plugins.drépertoire a été déplacé sous /etc/audit. L'état actuel auditdet ses plug-ins peuvent maintenant être vérifiés en exécutant la service auditd statecommande.

(BZ#1616428)

rsyslogimfile supporte maintenant les liens symboliques

Avec cette mise à jour, le module rsyslogimfile offre de meilleures performances et plus d'options de configuration. Ceci vous permet d'utiliser le module pour des cas d'utilisation plus complexes de surveillance de fichiers. Par exemple, vous pouvez maintenant utiliser des moniteurs de fichiers avec des motifs globes n'importe où le long du chemin configuré et faire pivoter les cibles symlink avec un débit de données accru.

(BZ#1614179)

La génération automatique des clés de OpenSSHserveur est maintenant gérée par sshd-keygen@.service

OpenSSH crée automatiquement les clés hôte de serveur RSA, ECDSA et ED25519 si elles manquent. Pour configurer la création de clé hôte dans RHEL 8, utilisez le service sshd-keygen@.serviceinstancié.

Par exemple, pour désactiver la création automatique du type de clé RSA : 

# systemctl mask sshd-keygen@rsa.service

Voir le /etc/sysconfig/sshdfichier pour plus d'informations.

(BZ#1228088)

Le format de fichier de rsyslogconfiguration par défaut n'est plus l'ancien

Les fichiers de configuration dans les rsyslogpaquets utilisent maintenant par défaut le format non ancien. L'ancien format peut toujours être utilisé, mais le mélange des énoncés de configuration actuels et anciens comporte plusieurs contraintes. Les configurations reportées des versions précédentes du RHEL doivent être révisées. Voir la page de rsyslog.conf(5)manuel pour plus d'informations.

(BZ#1619645)

Nouveau SELinux booleans

Cette mise à jour de la politique système de SELinux introduit les booléens suivants :

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

Pour plus de détails, voir la sortie de la commande suivante : 

# semanage boolean -l

(JIRA:RHELPLAN-10347)