Capítulo 16. Segurança

Geralmente, cada usuário do Linux é mapeado para um usuário do SELinux, usando a política do SELinux, permitindo que os usuários herdem as restrições colocadas em usuários do SELinux. Existe um mapeamento padrão no qual os usuários Linux são mapeados para o usuário unconfined_u do SELinux.

No Red Hat Enterprise Linux 7, a opção ChrootDirectory para usuários em chroot, pode ser usado com usuários não confinados sem qualquer alteração, mas para usuários confinados, tal como staff_u, user_u, ou guest_u, a variável do SELinux selinuxuser_use_ssh_chroot precisa ser definida. Os administradores são aconselhados a utilizar o usuário para todos os usuários em chroot quando utilizarem a opção ChrootDirectory para alcançarem uma maior segurança.

Red Hat Enterprise Linux 7.0 suporta múltiplas autenticações requeridas na versão 2 do protocolo SSH, utilizando a opção AuthenticationMethods. Esta opção apresenta uma ou mais listas de nomes de métodos de autenticação separados por vírgulas. É necessária a conclusão de todos os métodos com sucesso em qualquer lista para que a autenticação seja concluída. Isto permite, por exemplo, requerer que um usuário autentique-se utilizando a chave pública ou GSSAPI antes que seja oferecido uma autenticação de senha.

O GSS Proxy é o serviço de sistema que estabelece o contexto de GSS API Kerberos em nome de outros aplicativos. Isto traz benefícios de segurança; por exemplo, em uma situação que o acesso à keytab do sistema é compartilhada entre processos diferentes, um ataque bem sucedido contra este processo leva à impersonalização do Kerberos de todos os outros processos.

Os pacotes do nss foram atualizados para a versão upstream 3.15.2. As assinaturas do algorítimo Message-Digest algorithm 2 (MD2), MD4, e MD5 não são mais aceitas para o protocolo de status de certificado online (OCSP) ou listas de revogação de certificado (CRLs), consistente com seu manuseio para assinaturas gerais de certificado.

Advanced Encryption Standard Galois Counter Mode (AES-GCM) Cipher Suite (RFC 5288 and RFC 5289) foram adicionados para serem utilizadas quando o TLS 1.2 é negociado. Especificamente, as seguintes suites de cífras são agora suportadas:

O SCAP Workbench é um frontend de GUI que fornece função de cópia para conteúdo de SCAP. O SCAP Workbench está incluso como uma Amostra de Tecnologia no Red Hat Enterprise Linux 7.0.

Você pode encontrar informações detalhadas no Website do projeto upstream:

https://fedorahosted.org/scap-workbench/

Red Hat Enterprise Linux 7.0 Apresenta o OSCAP Anaconda add-on como uma Amostra de Tecnologia. O add-on integra as funções do OpenSCAP com o processo de instalação e possibilita o sistema de instalação a seguir restrições fornecidas pelo conteúdo do SCAP.