Red Hat Training

A Red Hat training course is available for RHEL 8

4.14. La sicurezza (traduzione automatica)

SCAP Security Guide Il profilo PCI-DSS si allinea con la versione 3.2.1

Il SCAP Security Guideprogetto fornisce il profilo PCI-DSS (Payment Card Industry Data Security Standard) per Red Hat Enterprise Linux 8 ed è stato aggiornato per allinearlo all'ultima versione PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH basato sulla versione 7.8p1

I opensshpacchetti sono stati aggiornati alla versione upstream 7.8p1. Notevoli cambiamenti includono:

  • Rimosso il supporto per il SSH version 1protocollo.
  • Rimosso il supporto per il codice di autenticazione dei hmac-ripemd160messaggi.
  • Rimosso il supporto per i cifrari RC4 (arcfour).
  • Rimosso il supporto per Blowfishi cifrari.
  • Rimosso il supporto per CASTi cifrari.
  • Modificato il valore predefinito dell'UseDNSopzione in no.
  • Disabilita gli algoritmi a chiave DSApubblica per impostazione predefinita.
  • Cambiata la dimensione minima del modulo per i Diffie-Hellmanparametri a 2048 bit.
  • Semantica modificata dell'opzione di ExposeAuthInfoconfigurazione.
  • L'UsePrivilegeSeparation=sandboxopzione è ora obbligatoria e non può essere disattivata.
  • Impostare la dimensione minima della chiave accettata RSAa 1024 bit.

(BZ#1622511)

RSA-PSS è ora supportato in OpenSC

Questo aggiornamento aggiunge il supporto per lo schema di firma crittografica RSA-PSS al driver della OpenSCsmart card. Il nuovo schema consente un algoritmo crittografico sicuro necessario per il supporto TLS 1.3 nel software client.

(BZ#1595626)

Notevoli cambiamenti nella rsyslogRHEL 8

I rsyslogpacchetti sono stati aggiornati alla versione upstream 8.37.0, che fornisce molte correzioni e miglioramenti rispetto alle versioni precedenti. I cambiamenti più importanti includono:

  • Miglioramento dell'elaborazione dei messaggi interni del rsyslog; possibilità di limitarne la velocità; eliminazione di possibili blocchi.
  • Limitazione del tasso di spam in generale; l'effettiva fonte di spam è ora registrata.
  • Migliore gestione dei messaggi sovradimensionati - l'utente può ora impostare come trattarli sia nel nucleo che in alcuni moduli con azioni separate.
  • mmnormalize possono ora essere incorporati nel configfile invece di creare file separati per loro.
  • L'utente può ora impostare la stringa di priorità di GnuTLS imtcpche consente un controllo a grana fine sulla crittografia.
  • Tutte configle variabili, comprese le variabili in JSON, ora non sono più sensibili alle maiuscole e minuscole.
  • Vari miglioramenti dell'output PostgreSQL.
  • Aggiunta la possibilità di utilizzare variabili di shell per controllare configl'elaborazione, come il caricamento condizionale di file di configurazione aggiuntivi, l'esecuzione di istruzioni o l'inclusione di un testo in config. Si noti che un uso eccessivo di questa funzione può rendere molto difficile il debug dei problemi con rsyslog.
  • Le modalità di creazione file a 4 cifre possono ora essere specificate in config.
  • L'affidabile ingresso RELP (Event Logging Protocol) può ora legarsi anche solo ad un indirizzo specificato.
  • Il valore predefinito dell'enable.bodyopzione dell'output di posta è ora allineato alla documentazione
  • L'utente può ora specificare codici di errore di inserimento che devono essere ignorati nell'output MongoDB.
  • L'ingresso Parallel TCP (pTCP) ha ora il backlog configurabile per un migliore bilanciamento del carico.

(BZ#1613880)

Nuovo modulo rsyslog: omkafka

Per abilitare gli scenari di archiviazione centralizzata dei dati di kafka, è ora possibile inoltrare i log all'infrastruttura kafka utilizzando il nuovo omkafkamodulo.

(BZ#1542497)

libssh implementa SSH come componente crittografico di base

Questa modifica introduce libsshcome componente crittografico di base in Red Hat Enterprise Linux 8. La libsshlibreria implementa il protocollo Secure SHell (SSH).

Si noti che libsshnon è conforme alla politica di crittografia a livello di sistema.

(BZ#1485241)

Il supporto PKCS #11 per smart card e HSM è ora coerente in tutto il sistema

Con questo aggiornamento, l'utilizzo di smart card e moduli di sicurezza hardware (HSM) con interfaccia token crittografica PKCS #11 diventa coerente. Questo significa che l'utente e l'amministratore possono usare la stessa sintassi per tutti gli strumenti correlati nel sistema. Notevoli miglioramenti includono:

  • Supporto per lo schema PKCS #11 Uniform Resource Identifier (URI) che garantisce un'abilitazione semplificata dei token sui server RHEL sia per gli amministratori che per gli application writer.
  • Un metodo di registrazione a livello di sistema per le smart card e gli HSM che utilizzano il dominio pkcs11.conf.
  • Il supporto costante per HSM e smart card è disponibile nelle applicazioni NSS, GnuTLS e OpenSSL (attraverso il openssl-pkcs11motore).
  • Il server HTTP Apache (httpd) ora supporta perfettamente gli HSM.

Per ulteriori informazioni, vedere la pagina dell'pkcs11.conf(5)uomo.

(BZ#1516741)

Le politiche crittografiche a livello di sistema sono applicate di default

Crypto-policies è un componente di Red Hat Enterprise Linux 8, che configura i sottosistemi crittografici di base, coprendo i protocolli TLS, IPSec, SSH, DNSSec e Kerberos. Fornisce un piccolo insieme di criteri che l'amministratore può selezionare utilizzando il update-crypto-policiescomando.

La politica di crittografia a livello di DEFAULTsistema offre impostazioni sicure per gli attuali modelli di minaccia. Permette i protocolli TLS 1.2 e 1.3, così come i protocolli IKEv2 e SSH2. Le chiavi RSA e i parametri Diffie-Hellman sono accettati se superiori a 2047 bit.

Vedi l'Consistent security by crypto policies in Red Hat Enterprise Linux 8articolo sul Blog di Red Hat e la pagina update-crypto-policies(8)uomo per maggiori informazioni.

(BZ#1591620)

La guida alla sicurezza SCAP supporta OSPP 4.2

SCAP Security Guide fornisce una bozza del profilo OSPP (Protection Profile for General Purpose Operating Systems) versione 4.2 per Red Hat Enterprise Linux 8. Questo profilo riflette i controlli di configurazione obbligatori identificati nell'allegato di configurazione NIAP del profilo di protezione per sistemi operativi generici (profilo di protezione versione 4.2). SCAP Security Guide fornisce controlli automatici e script che consentono agli utenti di soddisfare i requisiti definiti nell'OSPP.

(BZ#1618518)

Migliorata l'interfaccia a riga di comando OpenSCAP

La modalità verbose è ora disponibile in tutti oscapi moduli e sottomoduli. L'output dello strumento ha migliorato la formattazione.

Le opzioni depresse sono state rimosse per migliorare l'usabilità dell'interfaccia a riga di comando.

Le seguenti opzioni non sono più disponibili:

  • --show oscap xccdf generate reportè stato completamente rimosso.
  • --probe-root oscap oval evalè stato rimosso. Può essere sostituito impostando la variabile d'ambiente, OSCAP_PROBE_ROOT.
  • --sce-results in oscap xccdf evalè stato sostituito da --check-engine-results
  • validate-xml è stato eliminato dai moduli CPE, OVAL e XCCDF. I validatesottomoduli possono essere usati invece per validare il contenuto SCAP rispetto agli schemi XML e agli schemi XSD.
  • oscap oval list-probes è stato rimosso, l'elenco delle sonde disponibili può essere visualizzato utilizzando oscap --versioninvece l'apposito comando.

OpenSCAP permette di valutare tutte le regole in un dato benchmark XCCDF indipendentemente dal profilo utilizzando --profile '(all)'.

(BZ#1618484)

Supporto per un nuovo controllo dell'autorizzazione della mappa sulla chiamata di mmapsistema

Il permesso SELinux mapè stato aggiunto per controllare l'accesso mappato in memoria a file, directory, socket, e così via. Questo permette alla politica SELinux di impedire l'accesso diretto alla memoria ai vari oggetti del file system e garantire che ogni accesso sia riconvalidato.

(BZ#1592244)

SELinux ora supporta systemd No New Privileges

Questo aggiornamento introduce la funzionalità di nnp_nosuid_transitionpolicy che permette la transizione dei domini SELinux sotto (NNPNo New Privileges) o nosuidse nnp_nosuid_transitionè consentito tra il vecchio e il nuovo contesto. I selinux-policypacchetti ora contengono una policy per i servizi systemd che utilizzano la funzione di NNPsicurezza.

La seguente regola descrive come consentire questa capacità per un servizio: 

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Per esempio: 

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

La politica di distribuzione ora contiene anche l'interfaccia macro m4, che può essere utilizzata nelle politiche di sicurezza SELinux per i servizi che utilizzano la init_nnp_daemon_domain()funzione.

(BZ#1594111)

SELinux ora supporta getrlimiti permessi nella processclasse

Questo aggiornamento introduce un nuovo controllo di accesso SELinux, process:getrlimitche è stato aggiunto per la prlimit()funzione. Questo permette agli sviluppatori di politiche SELinux di controllare quando un processo tenta di leggere e poi modificare i limiti delle risorse di un altro processo usando il process:setrlimitpermesso. Si noti che SELinux non impedisce a un processo di manipolare i limiti delle proprie risorse attraverso prlimit(). Per ulteriori informazioni, vedere la pagina prlimit(2)e getrlimit(2)la pagina degli uomini.

(BZ#1549772)

Supporto TLS 1.3 nelle biblioteche crittografiche

Questo aggiornamento abilita di default Transport Layer Security (TLS) 1.3 in tutte le principali librerie di crittografia back-end. Ciò consente una bassa latenza attraverso il livello di comunicazione del sistema operativo e migliora la privacy e la sicurezza delle applicazioni sfruttando i nuovi algoritmi, come RSA-PSS o X25519.

(BZ#1516728)

Nuove caratteristiche in OpenSCAPRHEL 8

La OpenSCAPsuite è stata aggiornata alla versione upstream 1.3.0, che introduce molti miglioramenti rispetto alle versioni precedenti. Le caratteristiche più importanti includono:

  • API e ABI sono stati consolidati - i simboli aggiornati, deprecati e/o non utilizzati sono stati rimossi.
  • Le sonde non vengono eseguite come processi indipendenti, ma come fili all'interno del oscapprocesso.
  • L'interfaccia della riga di comando è stata aggiornata.
  • Python 2 le rilegature sono state sostituite con Python 3rilegature.

(BZ#1614273)

Audit 3.0 sostituisce audispdcon auditd

Con questo aggiornamento, la funzionalità di audispdè stata spostata in auditd. Di conseguenza, le opzioni di audispdconfigurazione sono ora parte di auditd.conf. Inoltre, la plugins.ddirectory è stata spostata in /etc/audit. Lo stato attuale dei plug-in auditde dei relativi plug-in può ora essere controllato eseguendo il service auditd statecomando.

(BZ#1616428)

rsyslogimfile ora supporta i link simbolici

Con questo aggiornamento, il modulo rsyslogimfile offre migliori prestazioni e più opzioni di configurazione. Questo permette di utilizzare il modulo per i casi d'uso più complicati del monitoraggio dei file. Ad esempio, è ora possibile utilizzare monitor di file con modelli di globi in qualsiasi punto del percorso configurato e ruotare i target di symlink con una maggiore velocità di trasferimento dati.

(BZ#1614179)

La generazione automatica OpenSSHdelle chiavi del server è ora gestita da sshd-keygen@.service

OpenSSH crea automaticamente le chiavi host del server RSA, ECDSA e ED25519 se mancano. Per configurare la creazione della chiave host in RHEL 8, utilizzare il servizio sshd-keygen@.serviceistanziato.

Ad esempio, per disabilitare la creazione automatica del tipo di chiave RSA: 

# systemctl mask sshd-keygen@rsa.service

Vedere il /etc/sysconfig/sshdfile per ulteriori informazioni.

(BZ#1228088)

Il formato predefinito rsyslogdel file di configurazione è ora non legacy

I file di configurazione dei rsyslogpacchetti ora usano di default il formato non legacy. Il formato legacy può essere ancora usato, tuttavia, mescolando le istruzioni di configurazione correnti e quelle legacy ha diversi vincoli. Le configurazioni derivanti dalle precedenti versioni di RHEL devono essere riviste. Per ulteriori informazioni, vedere la pagina rsyslog.conf(5)dedicata ai dipendenti.

(BZ#1619645)

Nuovi booleani SELinux

Questo aggiornamento della politica del sistema SELinux introduce le seguenti booleani:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

Per maggiori dettagli, vedere l'output del seguente comando: 

# semanage boolean -l

(JIRA:RHELPLAN-10347)