Capítulo 13. Segurança

Guia de Segurança SCAP

O pacote scap-security-guidefoi incluído no Red Hat Enterprise Linux 7.1 para fornecer guia de segurança, linhas de base e mecanismos de validação associadas. O guia é especificado no Security Content Automation Protocol (SCAP), o qual constitui em um catálogo de conselhos de rigidez prática. O SCAP Security Guide contém dados necessários para realizar scans de comprometimento de segurança de sistema , sobre requerimentos de política de segurança prescritas; ambas descrição escrita e um teste automatizado (análise) estão incluídas. Ao automatizar o teste, o SCAP Security Guide fornece uma forma conveniente e confiável de verificar o comprometimento do sistema regularmente.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

Política SELinux

No Red Hat Enterprise Linux 7.1, a política do SELinux foi modificada; os serviços que não possuem sua própria política do SELinux, que eram executadas anteriormente no domínio init_t agora são executadas no domínio recentemente adicionado unconfined_service_t. Veja o capítulo Unconfined Processes no SELinux User's and Administrator's Guide para Red Hat Enterprise Linux 7.1.

Novos Recursos no OpenSSH

O conjunto de ferramentas OpenSSH foi atualizado para a versão 6.6.1p1, a qual adiciona diversos novos recursos relacionados à criptografia:
  • A troca da chave utilizando o using elliptic-curve Diffie-Hellman no Daniel Bernstein's Curve25519 agora é suportada. Este método é agora o método padrão desde que o servidor e cliente o suportem.
  • O suporte foi adicionado para utilizar o esquema de assinatura da curva elliptica Ed25519como um tipo de chave pública. O Ed25519, o qual pode ser usado para ambos usuário e chaves de host, oferece mais segurança do que ECDSA e DSAassim como um bom desempenho.
  • Um formato novo de chave privada foi adicionado, o qual utiliza a função de derivação de chave bcrypt (KDF). Por padrão, este formato é usado para chaves Ed25519 mas pode ser requisitado para outros tipos de chaves também.
  • Uma nova cifra de transporte, chacha20-poly1305@openssh.com, foi adicionada. Ela combina com a cifra da faixa de Daniel Bernstein's ChaCha20 e com o código de autenticação de mensagem (MAC) Poly1305.

Novos Recursos no Libreswan

A implementação do Libreswande IPsec VPN foi adicionada à versão 3.12, a qual adiciona diversos novos recursos e aprimoramentos:
  • Novas cifras foram adicionadas.
  • IKEv2 support has been improved.
  • Suporte de corrente de certificado intermediário foi adicionado ao IKEv1 and IKEv2.
  • Manuseio de conexão foi aprimorado.
  • A interoperabilidade foi aprimorada com os sistemas OpenBSD, Cisco e Android.
  • O suporte systemd foi aprimorado.
  • Foi adicionado suporte ao CERTREQ e estatísticas de tráfego.

Novos Recursos no TNC

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • O suporte Attestation IMV foi aprimorado ao implementar um novo item de trabalho do TPMRA.
  • Foi adicionado suporte ao REST API baseado em JSON com o SWID IMV.
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • Foram reparados diversos erros nos protocolos IF-TNCCS (PB-TNC, IF-M (PA-TNC)) existentes e no par OS IMC/IMV.

Novos Recursos no GnuTLS

A implementação do GnuTLS do SSL, TLS, e protocolos DTLS foram adicionados à versão de 3.3.8, a qual oferece diversos novos recursos e aprimoramentos:
  • Foi adicionado suporte para DTLS 1.2.
  • Foi adicionado suporte para Application Layer Protocol Negotiation (ALPN).
  • Foi aprimorado o desempenho dos suites da cifra elliptic-curve.
  • Foram adicionados novos suites de cifra, RSA-PSK e CAMELLIA-GCM.
  • Foi adicionado o padrão de suporte nativo para o Trusted Platform Module (TPM).
  • Foi aprimorado de diversas formas o suporte para PKCS#11 smart cards and hardware security modules (HSM)
  • Foi aprimorado de diversas formas o comprometimento com os padrões de segurança do FIPS 140(Federal Information Processing Standards)