Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 6. Segurança

Tratando Coincidências de forma Autoritativa em Buscas de Entradas de sudoers.

O utilitário sudo é capaz de consultar o arquivo /etc/nsswitch.conf para as entradas de suco e procurá-as em arquivos utilizando LDAP. Anteriormente, quando uma coincidência era encontrada no primeiro banco de dados de entradas de sudos, a operação de busca ainda continuava em outros bancos de dados (incluindo arquivos). No Red Hat Enterprise Linux 6.4, uma opção foi adicionada ao arquivo /etc/nsswitch.conf que permite que usuários especifiquem um banco de dados após o qual uma coincidência de uma entrada do sudo seja suficiente. Isto elimina a necessidade de pesquisar qualquer outro banco de dados; portanto, aprimorar a performance da entrada dos sudoers busca em grandes ambientes . Este comportamento não é habilitado por padrão e deve ser configurado ao adicionar a faixa [SUCCESS=return] após um banco de dados selecionado. Quando uma coincidência é encontrada em um banco de dados que preceda diretamente esta faixa, nenhum outro banco de dados é pesquisado.

Verificações de Senha Adicional para pam_cracklib

O módulo pam_cracklib foi atualizado para adicionar diversas verificações de senha nova:
  • Algumas políticas de autenticação não permitem senhas que contenham sequências contínuas como "abcd" ou "98765". Esta atualização introduz a possibilidade de limitar a força máxima destas sequências utilizando a nova oção maxsequence.
  • O módulo pam_cracklib agora permite que verifique se uma senha nova contém palavras do campo GECOS das entradas do arquivo /etc/passwd. O campo GECOS é utilizado para armazenar informações adicionais sobre o usuário, tal como o nome completo do usuário ou um número de telefone, que pode ser utilizado por um atacante para uma tentativa de roubo de senha.
  • O módulo pam_cracklibagora permite especificar o máximo de número permitido de caracteres da mesma classe (minúscula, maiúscula, números e caracteres especiais) em uma senha via opção maxrepeatclass.
  • O módulo pam_cracklib agora suporta a opção enforce_for_rootque força as restrições de complexidade nas novas senhas para a conta de usuário root.

Opção de tamanho para o tmpfs Polyinstantiation

Em um sistema com montagens tmpfs múltiplas, é necessário limitar seus tamanhos para evitar que ocupem toda memória do sistema. O PAM foi atualizado para permitir que usuários especifiquem o tamanho máximo de montagem de sistema de arquivo tmpfs ao utilizar o polyinstatiation tmpfs utilizando a opção mntopts=size=<size> no arquivo de configuração /etc/namespace.conf .

Bloqueando Contas Inativas

Certas políticas de autenticação requerem suporte para bloquear uma conta que não esteja sendo utilizada por um certo período de tempo. O Red Hat Enterprise 6.4 apresenta uma função adicional ao módulo pam_lastlog, que permite que usuários bloqueiem as contas após alguns dias configuráveis.

Novos Modos de Operação para o libica

A biblioteca libica que contém um conjunto de funções e utilitários para acessar o hardware IBM eServer Cryptographic Accelerator (ICA) noIBM System z, foi modificado para permitir uso de novos algorítimos que suportam as Instruções do Message Security Assist Extension 4 no Central Processor Assist for Cryptographic Function (CPACF).Para as cífras em bloco DES e 3DES os seguintes modos de operação são agora suportados:
  • Cipher Block Chaining com Ciphertext Stealing (CBC-CS)
  • Cipher-based Message Authentication Code (CMAC)
Para a cífra de bloco AES, os modos a seguir de operação são suportados:
  • Cipher Block Chaining com Ciphertext Stealing (CBC-CS)
  • Contador com Cipher Block Chaining Message Authentication Code (CCM)
  • Galois/Contador (GCM)
Esta aceleração de algorítmos criptográficos complexos aprimora de forma significante o desempenho das máquinas IBM System z .

Otimização de, e Suporte para o zlib Biblioteca de Compressão para o System z

A biblioteca zlib, uma biblioteca de compressão sem perda de dados com propósitos gerais, foi atualizada para aprimorar o desempenho de compressão no IBM System z.

Configuração do Fallback Firewall

Os serviços iptables e ip6tables agora fornecem a habilitdade de atribuir a configuração de fallback firewall caso as configurações não possam ser aplicadas. Caso as regras do firewall se apliquem a partir do /etc/sysconfig/iptablesirão falhar, o arquivo fallback será então aplicado caso ele exista. O arquivo fallback é nomeado de /etc/sysconfig/iptables.fallback e utiliza o formato de arquivo iptables-save (assim como no /etc/sysconfig/iptables).Caso a aplicação do arquivo fallback também falhe, não existirá mais o fallback. Para criar o arquivo fallback file, use as ferramentas de configuração do firewall e renomeie ou copie o arquivo para o arquivo fallback. Use o mesmo processo para o serviço ip6tables e substitua todas as ocorrências do iptables por ip6tables.