Capitolo 16. Sicurezza

Login shell chroot di OpenSSH

Generalmente ogni utente Linux viene mappato su un utente SELinux usando una politica SELinux, permettendo così agli utenti Linux di ereditare i limiti posti agli utenti SELinux. È presente una mappatura predefinita nella quale gli utenti Linux sono mappati nell'utente unconfined_u di SELinux.
In Red Hat Enterprise Linux 7 l'opzione ChrootDirectory per gli utenti chrooting può essere usata con utenti non confinati senza alcuna modifica, ma per utenti confinati, come ad esempio staff_u, user_u, o guest_u, è necessario impostare la variabile selinuxuser_use_ssh_chroot di SELinux. È consigliato agli Amministrtori l'uso dell'utente guest_u per tutti gli utenti chrooted se si utilizza l'opzione ChrootDirectory per una maggiore sicurezza.

Autenticazioni multiple necessarie

Red Hat Enterprise Linux 7.0 supporta processi di autenticazione multipli nel protocollo SSH versione 2, usando l'opzione AuthenticationMethods. Questa opzione elenca uno o più elenchi separati da virgole, dei nomi di metodi di autenticazione. Per una corretta autenticazione sarà necessario completare tutti i metodi presenti in qualsiasi elenco. Ciò richiederà all'utente di eseguire una autenticazione usando la chiave pubblica o GSSAPI, prima di una autenticazione della password.

GSS Proxy

GSS Proxy è il servizio del sistema che stabilisce il contesto di kerberos GSS API per conto di altre applicazioni. Ciò comporta alcuni benefici sulla sicurezza; per esempio, in una situazione dove l'accesso al keytab del sistema è condiviso tra processi diversi, un attacco efficace comporta una impersonificazione di kerberos di tutti gli altri processi.

Modifiche in NSS

I pacchetti nss sono stati aggiornati alla versione upstream 3.15.2. Le firme Message-Digest algorithm 2 (MD2), MD4, e MD5 non sono più accettate per l'online certificate status protocol (OCSP) o certificate revocation list (CRL), conforme con la gestione delle firme del certificato generale.
È stata aggiunta la suite di cifratura Advanced Encryption Standard Galois Counter Mode (AES-GCM) (RFC 5288 e RFC 5289) per un suo utilizzo se TLS 1.2 è stato accettato. Ora sono supportate le seguenti suite di cifratura:
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP Workbench

SCAP Workbench è un front end GUI in grado di fornire funzionalità per la scansione per contenuti SCAP. SCAP Workbench è stato incluso come Anteprima di Tecnologia in Red Hat Enterprise Linux 7.0.
Per maggiori informazioni consultare il sito web del progetto originale:

OSCAP Anaconda Add-On

Red Hat Enterprise Linux 7.0 introduce OSCAP Anaconda add-on come Anteprima di Tecnologia. L'add-on integra le utilità OpenSCAP con il processo di installazione e permette una installazione del sistema seguendo i limiti dati da un contenuto SCAP.