Capitolo 6. Sicurezza

Trattamento autoritario delle corrispondenze nella ricerca di voci sudoers

L'utilità sudo è in grado di consultare il file /etc/nsswitch.conf per la presenza di voci sudoers ricercandole all'interno dei file o in LDAP. In precedenza in presenza di una corrispondenza nel primo database di voci sudoers, il processo di ricerca continuava in altri database (incluso file). Con Red Hat Enterprise Linux 6.4 è stata aggiunta una opzione al file /etc/nsswitch.conf che permette agli utenti di specificare un database sul quale è sufficiente la presenza di una sola corrispondenza. Tale procedura elimina la necessità di interrogare altri databse; ciò migliora le prestazioni durante le ricerche di voci sudoers in ambienti molto grandi. Per impostazione predefinita questo comportamento non è abilitato e deve essere configurato aggiungendo la stringa [SUCCESS=return] dopo il database desiderato. Al rilevamento di una corrispondenza nel database che processa la stringa, nessun altro database verrà interrogato.

Controlli aggiuntivi delle password per pam_cracklib

Il modulo pam_cracklib è stato aggiornato, è ora possibile avere nuovi controlli multipli sulla robustezza della password:
  • Alcune politiche di autenticazione non permettono l'uso di password con sequenze continue lunghe, ad esempio "abcd" o "98765". Questo aggiornamento permette di introdurre la possibilità di limitare la lunghezza massima delle sequenze usando l'opzione maxsequence.
  • Il modulo pam_cracklib permette ora di controllare se una nuova password contiene parole presenti nel campo GECOS nelle voci del file /etc/passwd. Il campo GECOS viene usato per archiviare le informazioni aggiuntive relative all'utente, ad esempio il nome o il numero di telefono, utilizzabili da un aggressore nel tentativo di violare una password.
  • Il modulo pam_cracklib permette ora di specificare il numero massimo consentito di caratteri consecutivi della stessa classe (minuscole, maiuscole, caratteri e numeri speciali) in una password tramite l'opzione maxrepeatclass.
  • Il modulo pam_cracklib supporta ora l'opzione enforce_for_root, la quale impone l'uso di limitazioni sulla complessità delle nuove password per l'account root.

Opzione size per il tmpfs Polyinstantiation

Su un sistema con montaggi multipli tmpfs è necessario limitare la dimensione per impedire l'uso di tutta la memoria del sistema. PAM è stato aggiornato e permette ora agli utenti di specificare la dimensione massima del montaggio del file system tmpfs, quando si utilizza tmpfs polyinstantiation tramite l'opzione mntopts=size=<size> nel file di configurazione /etc/namespace.conf.

Blocco di account inattivi

Alcune politiche di autenticazione hanno bisogno di un supporto per il blocco di un account non utilizzato durante un periodo di tempo determinato. Red Hat Enterprise Linux 6.4 introduce una funzione aggiuntiva al modulo pam_lastlog e permette ora agli utenti di bloccare gli account desiderati dopo un periodo specifico.

Nuove modalità operative per libica

La libreria libica, che presenta un set di funzioni e utilità per l'accesso all'hardware IBM eServer Cryptographic Accelerator (ICA) su IBM System z, è stata modificata e permette ora l'uso di nuovi algoritmi per il supporto delle istruzioni Message Security Assist Extension 4 nel Central Processor Assist for Cryptographic Function (CPACF). Per DES e 3DES sono supportate le seguenti modalità operative:
  • Cipher Block Chaining con Ciphertext Stealing (CBC-CS)
  • Cipher-based Message Authentication Code (CMAC)
Per AES sono supportate le seguenti modalità operative:
  • Cipher Block Chaining con Ciphertext Stealing (CBC-CS)
  • Modalità contatore con Cipher Block Chaining Message Authentication Code (CCM)
  • Galois/Counter (GCM)
L'accelerazione degli algoritmi complessi di cifratura migliora drammaticamente le prestazioni delle macchine IBM System z.

Ottimizzazione e supporto per la libreria di compressione zlib per System z

La libreira zlib, libreria generale per la compressione dei dati, è stata aggiornata per migliorare le prestazioni di compressione su IBM System z.

Configurazione fallback del firewall

I serivzi iptables e ip6tables forniscono ora la possibilità di assegnare una configurazione di fallback del firewall se le configurazioni predefinite non possono essere applicate. Se fallisce l'applicazione delle regole firewall di /etc/sysconfig/iptables, verrà applicato, se disponibile, il file fallback. Il file fallback corrisponde a /etc/sysconfig/iptables.fallback e utilizza il formato del file iptables-save (lo stesso di /etc/sysconfig/iptables). Se l'uso del file fallback a sua volta fallisce, non vi sarà alcun fallback aggiuntivo. Per la creazione di questo file usare i tool di configurazione standard del firewall e rinominare, o copiare, il file sul file di fallback. Usare lo stesso processo per il servizio ip6tables, sostituendo solo «iptables» con «ip6tables».