Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

Capítulo 11. Segurança

Suporte TLS 1.2 adicionado aos componentes básicos do sistema

Com estas atualizações, as ferramentas básicas do sistema, como Yum, stunnel, vsftp, Git ou Postfix, foram modificadas para fornecer suporte à versão 1.2 do protocolo TLS. Isto garante que as ferramentas não fiquem vulneráveis às explorações de segurança existentes nas versões mais antigas do protocolo.

NSS utiliza agora o protocolo TLS por padrão

Para garantir a segurança atual, o protocolo TLS 1.2 passa a ser habilitado no NSS por padrão. Isto significa que não é mais necessário habilitá-lo explicitamente.

pycurl fornece agora opções que exigem TLS1.1 ou 1.2

Com esta atualização, pycurl recebe aprimorações para fornecer suporte a opções que possibilitam a exigência do uso das versões 1.1 ou 1.2 do protocolo TLS, o que melhora a segurança da comunicação.

O módulo cURL PHP agora fornece suporte a TLS 1.1 e TLS 1.2

O suporte para as versões 1.1 e 1.2 do protocolo TLS, que foi disponibilizado na biblioteca curl, foi adicionado à extensão cURL PHP.

openswan foi preterido em favor do libreswan

Os pacotes openswan foram preteridos e os pacotes libreswan foram introduzidos como uma substituição direta. O libreswan oferece uma solução de VPN mais estável e segura para o Red Hat Enterprise Linux 6 e já está disponível como a solução de ponto de extremidade de VPN para o Red Hat Enterprise Linux 7. O openswan será substituído pelo libreswan durante o upgrade do sistema.
Observe que os pacotes openswan continuam disponíveis no repositório. Para instalar o openswan no lugar do libreswan, use a opção -x do yum para excluir _libreswan_: yum install openswan -x libreswan.

Suporte SELinux adicionado para GlusterFS

Com esta atualização, o controle de acesso mandatório do SELinux passa a ser fornecido para os processos glusterd (GlusterFS Management Service) e glusterfsd (NFS server), como parte do Red Hat Gluster Storage.

rebase do shadow-utils para a versão 4.1.5.1

O pacote shadow-utils, que fornece utilitários para o gerenciamento de contas de usuários e grupos, foi rebaseado para a versão 4.1.5.1. Esta é a mesma versão do shadow-utils usada no Red Hat Enterprise Linux 7. Os aprimoramentos podem ser encontrados na auditoria, que foi corrigida para fornecer um registro melhor das ações do administrador do sistema no banco de dados da conta do usuário. O recurso principal adicionado a este pacote é o suporte a operações em ambientes chroot usando a opção --root das respectivas ferramentas.

rebase do audit para a versão 2.4.5

O pacote audit, que fornece os utilitários user-space para o armazenamento e a pesquisa dos registros de auditoria gerados pelo subsistema audit no kernel do Linux, foi rebaseado para a versão 2.4.5. Esta atualização inclui recursos de interpretação de eventos aprimorados que fornecem mais nomes de chamadas de sistema para facilitar a compreensão dos eventos.
Esta atualização também possui uma alteração de comportamento importante na forma como auditd registra eventos no disco. Se você estiver usando os modos data ou sync para a configuração do flush no auditd.conf, você verá uma redução de desempenho na capacidade do auditd de registrar eventos. Isto acontece porque, anteriormente, ele não informava ao kernel de forma adequada que as gravações síncronas completas deviam ser usadas. Isto foi corrigido, melhorando a confiabilidade da operação, no entanto tem afetado o desempenho. Se a queda do desempenho não for tolerável, a configuração do flush deve ser alterada para incremental e a configuração do freq controlará a frequência com que auditd instrui o kernel para sincronizar todos os registros no disco. A configuração do freq como 100 deve permitir um bom desempenho, ao mesmo tempo que garante que novos registros sejam descarregados no disco periodicamente.

LWP fornece suporte à verificação de certificado e nome de host

A verificação de certificado e nome de host, desabilitada por padrão, foi implementada na biblioteca da World Wide Web para Perl (LWP, também conhecido como libwww-perl). Isto permite que os usuários do módulo Perl LWP::UserAgent verifiquem a identidade dos servidores HTTPS. Para habilitar a verificação, certifique-se de que o módulo Perl IO::Socket::SSL esteja instalado e a variável de ambiente PERL_LWP_SSL_VERIFY_HOSTNAME definida como 1 ou que o aplicativo esteja modificado para configurar a opção ssl_opts corretamente. Consulte POD LWP::UserAgent para mais detalhes.

Perl Net:SSLeay agora fornece suporte a parâmetros de curva elíptica

O suporte a parâmetros de curva elíptica foi adicionado ao módulo Perl Net:SSLeay, que contém associações com a biblioteca OpenSSL. Ou seja, as subrotinas EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() e OBJ_txt2nid() foram transportadas do upstream. Isto é necessário para o suporte de troca de chaves ECDHE (Elliptic Curve Diffie–Hellman Exchange) no módulo Perl IO::Socket::SSL.

Perl IO::Socket::SSL agora suporta ECDHE

O suporte para ECDHE (Elliptic Curve Diffie–Hellman Exchange) foi adicionadao ao módulo Perl IO::Socket::SSL. A nova opção SSL_ecdh_curve pode ser usada para a especificação de uma curva adequada pelo OID (Identificador de Objeto) ou pelo NID (Identificador de Nome). Como resultado disto, agora é possível substituir os parâmetros de curva elíptica padrão durante a implementação de um cliente TLS usando IO::Socket:SSL.

rebase do openscap para a versão 1.2.8

O OpenSCAP, um conjunto de bibliotecas que fornece um caminho para a integração dos padrões SCAP, foi rebaseado para 1.2.8, a última versão upstream. Aprimoramentos importantes incluem: suporte às versões 5.11 e 5.11.1 da linguagem OVAL, introdução do modo verbose, que ajuda na compreensão dos detalhes de escaneamentos em execução, dois novos comandos, oscap-ssh e oscap-vm, para o escaneamanento do SSH e de sistemas virtuais inativos respectivamente, suporte nativo para os arquivos bz2 e uma interface moderna para os guias e relatórios HTML.

rebase do scap-workbench para a versão 1.1.1

O pacote scap-workbench foi rebaseado para a versão 1.1.1, a qual fornece um novo diálogo de integração do Guia de Segurança SCAP. Isto pode ajudar o administrador a selecionar um produto que precisa ser escaneado em vez de selecionar arquivos de conteúdo. A nova versão também oferece várias melhorias relacionadas ao desempenho e à experiência do usuário, incluindo uma melhor pesquisa de regras na janela de personalização e a possibilidade de capturar recursos remotos no conteúdo SCAP usando o GUI.

rebase do scap-security-guide para a versão 0.1.28

O pacote scap-security-guide foi rebaseado para a versão upstream mais recente (0.1.28), a qual oferece diversas correções e aprimoramentos importantes, incluindo: alguns perfis completamente novos ou melhorados tanto para o Red Hat Enterprise Linux 6 quanto 7, verificações automáticas e scripts de correção para várias regras, IDs OVAL legíveis por humanos e consistentes entre os lançamentos, ou guias formatados em HTML acompanhando cada perfil.

Suporte a SSLv3 e RC4 desabilitado em luci

O uso do protocolo SSLv3, não suficientemente seguro, e do algoritimo RC4 foi desabilitado por padrão no luci, aplicativo de administração de alta disponibilidade baseado na web. É possível re-habilitar o SSLv3, mas somente para casos improváveis e imprevisíveis, devendo ser usado com cuidado extremo.