Show Table of Contents
Capitolo 13. Sicurezza
SCAP Security Guide
Con Red Hat Enterprise Linux 7.1 è stato incluso il pacchetto scap-security-guide il quale fornisce le linee guida sulla sicurezza e i meccanismi di convalida associati. Le linee guida sono specificate nel Security Content Automation Protocol (SCAP), il quale rappresenta un catalogo sui consigli pratici. La SCAP Security Guide presenta i dati necessari per eseguire scansioni sulla conformità della sicurezza dei sistemi, in relazione a determinati requisiti di sicurezza di una politica; sono inclusi una descrizione scritta e un test automatizzato (probe). Automatizzando il test, la SCAP Security Guide fornisce un metodo affidabile e conveniente per la verifica della conformità dei sistemi.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the
oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.
Politica di SELinux
In Red Hat Enterprise Linux 7.1 la politica SELinux è stata modificata; i servizi sprovvisti di politica SELinux, che in precedenza erano in grado di essere eseguiti nel dominio
init_t, ora vengono eseguiti in un nuovo dominio unconfined_service_t. Consultare il capitolo Processi non confinati nella SELinux User's and Administrator's Guide di Red Hat Enterprise Linux 7.1.
Nuove funzioni in OpenSSH
Il set OpenSSH è stato aggiornato alla versione 6.6.1p1 e ora sono disponibili nuove funzioni relative alla crittografia:
- Lo scambio di chiavi con elliptic-curve
Diffie-HellmaninCurve25519di Daniel Bernstein è ora supportato. Questo metodo è quello predefinito previo supporto disponibile sia sul server che sul client. - È stato aggiunto il supporto per l'utilizzo dello schema di firma elliptic-curve
Ed25519come tipo di chiave pubblica.Ed25519, utilizzabile sia per gli utenti che per le chiavi dell'host, offre una maggiore sicurezza e migliori prestazioni rispetto aECDSAeDSA. - È stato aggiunto un nuovo formato di chiave-privata il quale utilizza la funzione
bcryptkey-derivation (KDF). Per impostazione predefinita questo formato viene usato per le chiaviEd25519ma può essere richiesto per altri tipi di chiavi. - È stato aggiunto un nuovo cifrario per il trasporto
chacha20-poly1305@openssh.com. Esso combinaChaCha20di Daniel Bernstein e ilPoly1305message authentication code (MAC).
Nuove funzioni in Libreswan
L'implementazione Libreswan di IPsec VPN è stata aggiornata alla versione 3.12, ora sono disponibili nuove funzioni e miglioramenti:
- Sono stati aggiunti nuovi tipi di cifrari
IKEv2support has been improved.- È stato aggiunto il supporto per la catena del certificato intermediario in
IKEv1eIKEv2. - È stata migliorata la gestione dei collegamenti.
- È stata migliorata l'interoperabilità con i sistemi OpenBSD, Cisco e Android.
- È stato migliorato il supporto per systemd.
- È stato aggiunto il supporto per
CERTREQe per le statistiche del traffico.
Nuove funzioni in TNC
The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
- The
PT-EAPtransport protocol (RFC 7171) for Trusted Network Connect has been added. - The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
- Il supporto per l'Attestation IMV è stato migliorato tramite l'implementazione di un nuovo elemento di lavoro TPMRA.
- È stato aggiunto il supporto per una REST API basata su JSON con SWID IMV.
- The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
- The
libtlsTLS 1.2implementation as used byEAP-(T)TLSand other protocols has been extended by AEAD mode support, currently limited toAES-GCM. - Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common
imv_sessionobject. - Numerosi bug sono stati corretti nei protocolli esistenti
IF-TNCCS(PB-TNC,IF-M(PA-TNC)) e nella coppiaOS IMC/IMV.
Nuove funzioni in GnuTLS
L'implementaziuone GnuTLS dei protocolli
SSL, TLS e DTLS è stata aggiornata alla versione 3.3.8, ora sono disponibili nuove funzioni e miglioramenti:
- È stato aggiunto il supporto per
DTLS 1.2. - È stato aggiunto il supporto per Application Layer Protocol Negotiation (ALPN).
- Sono state migliorate le prestazioni delle suite del cifrario elliptic-curve.
- Sono state aggiunte nuove suite del cifrario,
RSA-PSKeCAMELLIA-GCM. - È stato aggiunto il supporto nativo per lo standard Trusted Platform Module (TPM).
- È stato migliorato il supporto per le
PKCS#11smart card e per gli hardware security module (HSM). - Miglioramenti apportati per la conformità agli standard di sicurezza FIPS 140 (Federal Information Processing Standards).
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.