Capitolo 13. Sicurezza

SCAP Security Guide

Con Red Hat Enterprise Linux 7.1 è stato incluso il pacchetto scap-security-guide il quale fornisce le linee guida sulla sicurezza e i meccanismi di convalida associati. Le linee guida sono specificate nel Security Content Automation Protocol (SCAP), il quale rappresenta un catalogo sui consigli pratici. La SCAP Security Guide presenta i dati necessari per eseguire scansioni sulla conformità della sicurezza dei sistemi, in relazione a determinati requisiti di sicurezza di una politica; sono inclusi una descrizione scritta e un test automatizzato (probe). Automatizzando il test, la SCAP Security Guide fornisce un metodo affidabile e conveniente per la verifica della conformità dei sistemi.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

Politica di SELinux

In Red Hat Enterprise Linux 7.1 la politica SELinux è stata modificata; i servizi sprovvisti di politica SELinux, che in precedenza erano in grado di essere eseguiti nel dominio init_t, ora vengono eseguiti in un nuovo dominio unconfined_service_t. Consultare il capitolo Processi non confinati nella SELinux User's and Administrator's Guide di Red Hat Enterprise Linux 7.1.

Nuove funzioni in OpenSSH

Il set OpenSSH è stato aggiornato alla versione 6.6.1p1 e ora sono disponibili nuove funzioni relative alla crittografia:
  • Lo scambio di chiavi con elliptic-curve Diffie-Hellman in Curve25519 di Daniel Bernstein è ora supportato. Questo metodo è quello predefinito previo supporto disponibile sia sul server che sul client.
  • È stato aggiunto il supporto per l'utilizzo dello schema di firma elliptic-curve Ed25519 come tipo di chiave pubblica. Ed25519, utilizzabile sia per gli utenti che per le chiavi dell'host, offre una maggiore sicurezza e migliori prestazioni rispetto a ECDSA e DSA.
  • È stato aggiunto un nuovo formato di chiave-privata il quale utilizza la funzione bcrypt key-derivation (KDF). Per impostazione predefinita questo formato viene usato per le chiavi Ed25519 ma può essere richiesto per altri tipi di chiavi.
  • È stato aggiunto un nuovo cifrario per il trasporto chacha20-poly1305@openssh.com. Esso combina ChaCha20 di Daniel Bernstein e il Poly1305 message authentication code (MAC).

Nuove funzioni in Libreswan

L'implementazione Libreswan di IPsec VPN è stata aggiornata alla versione 3.12, ora sono disponibili nuove funzioni e miglioramenti:
  • Sono stati aggiunti nuovi tipi di cifrari
  • IKEv2 support has been improved.
  • È stato aggiunto il supporto per la catena del certificato intermediario in IKEv1 e IKEv2.
  • È stata migliorata la gestione dei collegamenti.
  • È stata migliorata l'interoperabilità con i sistemi OpenBSD, Cisco e Android.
  • È stato migliorato il supporto per systemd.
  • È stato aggiunto il supporto per CERTREQ e per le statistiche del traffico.

Nuove funzioni in TNC

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • Il supporto per l'Attestation IMV è stato migliorato tramite l'implementazione di un nuovo elemento di lavoro TPMRA.
  • È stato aggiunto il supporto per una REST API basata su JSON con SWID IMV.
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • Numerosi bug sono stati corretti nei protocolli esistenti IF-TNCCS (PB-TNC, IF-M (PA-TNC)) e nella coppia OS IMC/IMV.

Nuove funzioni in GnuTLS

L'implementaziuone GnuTLS dei protocolli SSL, TLS e DTLS è stata aggiornata alla versione 3.3.8, ora sono disponibili nuove funzioni e miglioramenti:
  • È stato aggiunto il supporto per DTLS 1.2.
  • È stato aggiunto il supporto per Application Layer Protocol Negotiation (ALPN).
  • Sono state migliorate le prestazioni delle suite del cifrario elliptic-curve.
  • Sono state aggiunte nuove suite del cifrario, RSA-PSK e CAMELLIA-GCM.
  • È stato aggiunto il supporto nativo per lo standard Trusted Platform Module (TPM).
  • È stato migliorato il supporto per le PKCS#11 smart card e per gli hardware security module (HSM).
  • Miglioramenti apportati per la conformità agli standard di sicurezza FIPS 140 (Federal Information Processing Standards).