5.5. Segurança

RHEL 8 contém agora o perfil DISA STIG

Os Guias de Implementação Técnica de Segurança (STIG) são um conjunto de recomendações de base publicadas pela Agência de Sistemas de Informação de Defesa (DISA) para reforçar a segurança dos sistemas de informação e software que, de outra forma, poderiam ser vulneráveis. Esta versão inclui o perfil e o arquivo Kickstart para esta política de segurança. Com esta melhoria, os usuários podem verificar a conformidade dos sistemas, corrigir os sistemas para que estejam em conformidade e instalar sistemas em conformidade com o DISA STIG para o Red Hat Enterprise Linux 8.

(BZ#1755447)

as políticas criptográficas podem agora ser personalizadas

Com esta atualização, você pode ajustar certos algoritmos ou protocolos de qualquer nível de política ou definir um novo arquivo de política completo como a política criptográfica atual de todo o sistema. Isto permite aos administradores personalizar a política criptográfica de todo o sistema, conforme exigido por diferentes cenários.

Os pacotes RPM devem armazenar as políticas fornecidas por eles no diretório /usr/share/crypto-policies/policies. O diretório /etc/crypto-policies/policies contém políticas personalizadas locais.

Para mais informações, consulte a seção Políticas Personalizadas na página de manual update-crypto-policies(8 ) e a seção Formato de Definição de Políticas Crypto na página de manual update-crypto-policies(8).

(BZ#1690565)

Guia de Segurança SCAP agora suporta ACSC Essential Eight

Os pacotes scap-security-guide fornecem agora o perfil de conformidade Essential Cyber Security Centre (ACSC) da Austrália e um arquivo Kickstart correspondente. Com esta melhoria, os usuários podem instalar um sistema que esteja em conformidade com esta linha de base de segurança. Além disso, é possível usar a suíte OpenSCAP para verificar a conformidade e correção de segurança usando esta especificação de controles mínimos de segurança definidos pelo ACSC.

(BZ#1755194)

oscap-podman para segurança e verificação de conformidade de containers está agora disponível

Esta atualização dos pacotes openscap introduz uma nova utilidade para segurança e verificação de conformidade de contêineres. A ferramenta oscap-podman fornece um equivalente do utilitário oscap-docker que serve para escanear imagens de contêineres e contêineres no RHEL 7.

(BZ#1642373)

asolução de problemas pode agora analisar e reagir às negações de acesso de execmem

Esta atualização introduz um novo setroubleshoot plugin. O plugin pode analisar as negações de acesso execmem (AVCs) e fornecer conselhos relevantes. Como resultado, o setroubleshoot pode agora sugerir a possibilidade de trocar um booleano se ele permitir o acesso, ou relatar o problema quando nenhum booleano puder permitir o acesso.

(BZ#1649842)

Novos pacotes: setools-gui e setools-console-análises

O pacote setools-gui, que fez parte do RHEL 7, está agora sendo apresentado ao RHEL 8. Ferramentas gráficas ajudam a inspecionar relações e fluxos de dados, especialmente em sistemas multiníveis com políticas SELinux altamente especializadas. Com a ferramenta gráfica apol do pacote setools-gui, você pode inspecionar e analisar aspectos de uma política SELinux. As ferramentas do pacote setools-console-analyses permitem analisar as transições de domínio e os fluxos de informações sobre políticas SELinux.

(BZ#1731519)

Usuários confinados no SELinux podem agora gerenciar os serviços de sessão do usuário

Anteriormente, os usuários confinados não eram capazes de gerenciar os serviços de sessão do usuário. Como resultado, eles não podiam executar comandos de usuário do systemctl --usuário ou busctl -- ou trabalhar no console web RHEL. Com esta atualização, os usuários confinados podem gerenciar as sessões de usuários.

(BZ#1727887)

O serviço lvmdbusd está agora confinado pela SELinux

O serviço lvmdbusd fornece um D-Bus API para o gerenciador de volume lógico (LVM). Anteriormente, o daemon lvmdbusd não podia fazer a transição para o contexto lvm_t, embora a política SELinux para o lvm_t estivesse definida. Como conseqüência, o daemon lvmdbusd era executado no domínio lvmdbusd não-confinado_t e o SELinux rotulado lvmdbusd como não-confinado. Com esta atualização, o arquivo executável do lvmdbusd tem o contexto lvm_exec_t definido e o lvmdbusd pode agora ser usado corretamente com o SELinux no modo de execução.

(BZ#1726166)

semanage agora suporta a listagem e modificação de portas SCTP e DCCP.

Anteriormente, as portas semanais permitiam a listagem e modificação apenas das portas TCP e UDP. Esta atualização adiciona suporte ao protocolo SCTP e DCCP à porta semanage. Como resultado, os administradores podem agora verificar se duas máquinas podem se comunicar via SCTP e habilitar totalmente os recursos do SCTP para implementar com sucesso aplicações baseadas no SCTP.

(BZ#1563742)

aexportação semanal mostra agora customizações relacionadas a domínios permissivos

Com esta atualização, o utilitário semanário, que faz parte do pacote de policoreutils para SELinux, é capaz de exibir personalizações relacionadas a domínios permissivos. Os administradores do sistema podem agora transferir modificações locais permissivas entre máquinas usando o comando de exportação semanage.

(BZ#1417455)

udica pode adicionar novas regras de permissão geradas a partir de recusas da SELinux à política de contêineres existente

Quando um contêiner que está funcionando sob uma política gerada pelo utilitário udica aciona uma negação da SELinux, a udica agora é capaz de atualizar a política. O novo parâmetro -a ou --as regras abertas- pode ser usado para anexar regras de um arquivo AVC.

(BZ#1732704)

Os novos tipos de SELinux permitem que os serviços funcionem confinados

Esta atualização introduz novos tipos de SELinux que permitem que os seguintes serviços sejam executados como serviços confinados no modo de aplicação do SELinux, em vez de serem executados no domínio não-confinado_service_t:

  • lldpd agora funciona como lldpad_t
  • rrdcached agora funciona como rrdcached_t
  • stratisd agora funciona como stratisd_t
  • timedatex agora funciona como timedatex_t

(BZ#1726246, BZ#1726255, BZ#1726259, BZ#1730204)

Clevis é capaz de listar as políticas em vigor para um determinado dispositivo LUKS

Com esta atualização, o comando clevis luks luks lista as políticas PBD em vigor para um determinado dispositivo LUKS. Isto facilita encontrar informações sobre os pinos Clevis em uso e a configuração dos pinos, por exemplo, endereços de servidores Tang, detalhes sobre políticas tpm2 e limites SSS.

(BZ#1766526)

Clevis fornece novos comandos para informar o status da chave e rebobinar chaves vencidas

O comando clevis luks report agora fornece uma maneira simples de informar se as chaves para uma determinada ligação requerem rotação. Rotações regulares de chaves em um servidor Tang melhoram a segurança das implementações de Criptografia de Disco Ligado à Rede (NBDE) e, portanto, o cliente deve fornecer a detecção de chaves expiradas. Se a chave estiver expirada, Clevis sugere o uso do comando clevis luks regen que religa o slot da chave expirada com uma chave atual. Isto simplifica significativamente o processo de rotação da chave.

(BZ#1564559, BZ#1564566)

Clevis pode agora extrair a frase-senha utilizada para encadernar um determinado slot em um dispositivo LUKS

Com esta atualização da estrutura de decriptação baseada na política Clevis, você pode agora extrair a senha usada para encadernar um determinado slot em um dispositivo LUKS. Anteriormente, se a senha de instalação do LUKS fosse apagada, Clevis não poderia realizar tarefas administrativas do LUKS, tais como reencriptação, permitindo um novo slot chave com uma senha de usuário, e religando Clevis quando o administrador precisar alterar o limiar sss. Esta atualização introduz o comando clevis luks pass que mostra a frase-chave usada para encadernar um determinado slot.

(BZ#1436780)

Clevis agora fornece melhor suporte para decodificação de múltiplos dispositivos LUKS na inicialização

Os pacotes clevis foram atualizados para fornecer melhor suporte à decriptação de múltiplos dispositivos criptografados LUKS na inicialização. Antes desta melhoria, o administrador teve que realizar alterações complicadas na configuração do sistema para permitir a decriptação adequada de múltiplos dispositivos pela Clevis no momento da inicialização. Com este lançamento, você pode configurar a decriptação usando o comando clevis luks bind e atualizando o initramfs através do comando dracut -fv --regenerate-all.

Para mais detalhes, consulte a seção Configurando o desbloqueio automatizado de volumes criptografados utilizando a decodificação baseada em políticas.

(BZ#1784524)

openssl-pkcs11 rebaseado para 0,4,10

O pacote openssl-pkcs11 foi atualizado para a versão 0.4.10, que fornece muitas correções de bugs e melhorias em relação à versão anterior. O pacote openssl-pkcs11 fornece acesso aos módulos PKCS #11 através da interface do motor. As principais mudanças introduzidas pela nova versão são:

  • Se um objeto de chave pública correspondente à chave privada não estiver disponível ao carregar uma chave privada ECDSA, o motor carrega a chave pública a partir de um certificado correspondente, se presente.
  • Você pode usar URI genérico PKCS #11 (por exemplo pkcs11:type=public) porque o motor openssl-pkcs11 procura todos os tokens que correspondem a um determinado URI PKCS #11.
  • O sistema tenta entrar com um PIN somente se um único dispositivo corresponder à busca URI. Isto evita falhas de autenticação devido ao fornecimento do PIN a todos os tokens correspondentes.
  • Ao acessar um dispositivo, o motor openssl-pkcs11 agora marca a estrutura dos métodos RSA com a bandeira RSA_FLAG_FIPS_METHOD. No modo FIPS, OpenSSL exige que a bandeira seja definida na estrutura dos métodos RSA. Observe que o motor não pode detectar se um dispositivo é certificado por FIPS.

(BZ#1745082)

rsyslog rebaseado para 8.1911.0

O utilitário rsyslog foi atualizado para a versão upstream 8.1911.0, que fornece uma série de correções de bugs e melhorias em relação à versão anterior. A lista a seguir inclui melhorias notáveis:

  • O novo módulo omhttp permite que você envie mensagens através da interface HTTP REST.
  • O módulo de entrada de arquivo é aprimorado para melhorar a estabilidade, relatório de erros e detecção de truncagem.
  • Novo parâmetro Action.resumeIntervalMax que pode ser usado com qualquer ação permite limitar o crescimento do intervalo de reentrada a um valor especificado.
  • Nova opção StreamDriver.PermitExpiredCerts para TLS permite conexões mesmo que um certificado tenha expirado.
  • Agora você pode suspender e retomar a saída com base no conteúdo do arquivo externo configurado. Isto é útil nos casos em que a outra extremidade sempre aceita mensagens e as deixa cair silenciosamente quando não é capaz de processá-las todas.
  • O relatório de erros para o módulo de saída do arquivo foi melhorado e agora contém nomes de arquivos reais e mais informações sobre as causas dos erros.
  • As filas de discos agora rodam com várias filas, o que melhora o desempenho.
  • Você pode definir modos de operação TLS mais rígidos: verificação do campo de certificado estendido doKeyUsage e verificação mais rígida dos campos de certificado CN/SAN.

(BZ#1740683)

rsyslog agora fornece o plugin omhttp para comunicação através de uma interface HTTP REST

Com esta atualização dos pacotes rsyslog, você pode usar o novo plugin omhttp para produzir uma saída compatível com serviços usando uma API Representational State Transfer (REST), como a plataforma de armazenamento Ceph, Amazon Simple Storage Service (Amazon S3), e Grafana Loki. Este novo módulo de saída HTTP fornece um caminho REST configurável e formato de mensagem, suporte a vários formatos de lotes, compressão e criptografia TLS.

Para mais detalhes, consulte o arquivo /usr/share/doc/rsyslog/html/configuration/modules/omhttp.html instalado em seu sistema com o pacote rsyslog-doc.

(BZ#1676559)

omelasticsearch no rsyslog agora suporta rebindintervalo

Esta atualização dos pacotes rsyslog introduz suporte para definir o tempo de reconexão periódica no módulo de pesquisa omelástica. Você pode melhorar o desempenho ao enviar registros para um cluster de nós de Elasticsearch definindo este parâmetro de acordo com seu cenário. O valor do parâmetro rebindintervalo indica o número de operações submetidas a um nó após o qual o rsyslog fecha a conexão e estabelece uma nova. O valor padrão -1 significa que o rsyslog não restabelece a conexão.

(BZ#1692073)

rsyslog mmkubernetes agora fornece o prazo de validade do cache de metadados

Com esta atualização dos pacotes rsyslog, você pode usar dois novos parâmetros para o módulo mmkubernetes para definir a expiração do cache de metadados. Isto assegura que objetos Kubernetes apagados sejam removidos do cache estático mmkubernetes. O valor do parâmetro cacheentryttl indica a idade máxima das entradas de cache em segundos. O parâmetro cacheexpireintervalo tem os seguintes valores:

  • -1 para desativar as verificações de validade do cache
  • 0 para permitir verificações de validade de cache
  • maior que 0 para verificações regulares de validade de cache em segundos

(BZ#1692072)

auditoria rebaseada para a versão 3.0-0.14

Os pacotes de auditoria foram atualizados para a versão upstream 3.0-0.14, que fornece muitas correções e melhorias em relação à versão anterior, mais notadamente:

  • Adicionada uma opção para interpretar os campos no plugin syslog
  • Dividiu o arquivo 30-ospp-v42.rules em arquivos mais granulares
  • Mudou as regras de exemplo para o diretório /usr/share/audit/sample-rules/
  • Auditoria fixa Modo de transporte KRB5 para registro remoto

(BZ#1757986)

A auditoria agora contém muitas melhorias do kernel v5.5-rc1

Esta adição ao kernel Linux contém a maioria das melhorias, correções de bugs e limpezas relacionadas ao subsistema de Auditoria e introduzidas entre a versão 4.18 e 5.5-rc1. A lista a seguir destaca mudanças importantes:

  • Uso mais amplo do campo exe para filtragem
  • Apoio às capacidades de nomes v3
  • Melhorias para filtragem em sistemas de arquivos remotos
  • Fixação da regra do filtro gid
  • Consertos de um uso - após a corrupção e vazamentos de memória livres
  • Melhorias na associação de registros de eventos
  • Limpeza da interface fanoticia, opções de configuração de Auditoria e interface syscall
  • Fixação do valor de retorno do Módulo de Verificação Estendida (EVM)
  • Consertos e limpezas de vários formatos de registros
  • Simplificações e correções da auditoria do Sistema de Arquivo Virtual (VFS)

(BZ#1716002)

fapolicyd rebaseado para 0,9,1-2

Os pacotes fapolicyd que fornecem a lista branca de aplicações RHEL foram atualizados para a versão 0.9.1-2. Correções de erros notáveis e melhorias incluem:

  • A identificação do processo é fixa.
  • A parte sujeita e a parte objeto estão agora posicionadas estritamente na regra. Ambas as partes são separadas por dois pontos e contêm a permissão necessária (executar, abrir, qualquer).
  • O assunto e os atributos do objeto são consolidados.

  • O novo formato de regras é o seguinte: 

    ASSUNTO DA PERMISSÃO DE DECISÃO : OBJETO

    Por exemplo: 

    permitir perm=exe=/usr/bin/rpm : todos

(BZ#1759895)

sudo rebaseado para 1.8.29-3.el8

os pacotessudo foram atualizados para a versão upstream 1.8.29-3, que fornece uma série de correções de bugs e melhorias em relação à versão anterior. As principais mudanças introduzidas pela nova versão são:

  • sudo agora escreve mensagens do Módulo de Autenticação Plugável (PAM) no terminal do usuário, se disponível, ao invés da saída padrão ou saída de erro padrão. Isto evita possível confusão da saída do PAM e da saída do comando enviado para arquivos e pipes.
  • As opções notBefore e notApós do LDAP e SSSD agora funcionam e exibem corretamente com o comando sudo -l.
  • O comando cvtsudoers agora rejeita a entrada de dados não-LDAP Data Interchange Format (LDIF) ao converter de LDIF para sudoers e formatos JSON.
  • Com as novas configurações log_allowed e log_denied para os processadores, você pode desativar o registro e a auditoria dos comandos permitidos e negados.
  • Agora você pode usar sudo com a opção -g para especificar um grupo que corresponda a qualquer grupo do usuário alvo, mesmo que nenhum grupo esteja presente na especificação runas_spec. Anteriormente, você só poderia fazê-lo se o grupo correspondesse ao grupo primário do usuário alvo.
  • Corrigido um bug que impedia o sudo de combinar o nome do host com o valor do ipa_hostname do sssd.conf, se especificado.
  • Uma vulnerabilidade que permitiu que um usuário sudo executasse um comando como root quando a especificação Runas proibia o acesso root com a palavra-chave ALL é agora corrigida (CVE-2019-14287).
  • O uso de IDs de usuários e grupos desconhecidos para entradas de substitutos permissivos, por exemplo, usando a palavra-chave ALL, está agora desativado. Você pode habilitá-lo com a configuração runas_allow_unknown_id (CVE-2019-19232).

(BZ#1733961)

O módulo pam_namespace agora permite especificar opções adicionais de montagem para tmpfs

As opções de montagem nosuid, noexec e nodev podem agora ser usadas no arquivo de configuração /etc/security/namespace.conf para respectivamente desativar o efeito setuid bit, desativar os executáveis em execução e impedir que os arquivos sejam interpretados como caracteres ou dispositivos de bloqueio no sistema de arquivos tmpfs montados.

Opções adicionais de montagem são especificadas na página de manual tmpfs(5 ).

(BZ#1252859)

pam_faillock agora pode ler os ajustes do arquivo de configuração faillock.conf

O módulo pam_faillock, parte dos módulos de autenticação plugáveis (PAM), agora pode ler as configurações do arquivo de configuração localizado em /etc/security/faillock.conf. Isto facilita a configuração de um bloqueio de conta nas falhas de autenticação, fornece perfis de usuário para esta funcionalidade e lida com diferentes configurações PAM simplesmente editando o arquivo faillock.conf.

(BZ#1537242)