Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Глава 6. Безопасность
Поиск записей пользователей sudo
sudo позволяет выполнить поиск записей пользователей в
/etc/nsswitch.conf
и соответствующих файлах в LDAP. Раньше даже если соотвествие было найдено, поиск продолжался в других базах данных (и файлах). Теперь в /etc/nsswitch.conf
можно добавить параметр, который позволяет определить базу данных, после проверки которой поиск будет остановлен, что повышает эффективность поиска в больших окружениях. Для этого следует добавить [SUCCESS=return]
после интересующей базы данных. Если соответствие найдено, поиск будет прекращен.
Дополнительные проверки пароля в pam_cracklib
В модуль
pam_cracklib
добавлено несколько новых проверок защиты пароля:
- Некоторые правила запрещают использование паролей с упорядоченными последовательностями букв и цифр (например: abcd, 98765). Новый параметр
maxsequence
позволяет ограничить длину последовательности. pam_cracklib
позволяет проверить, не содержит ли пароль слова из поля GECOS в/etc/passwd
. Поле GECOS содержит дополнительную информацию о пользователе: полное имя, пароль, номер телефона.- Параметр
maxrepeatclass
позволяет определить максимальное число последовательных знаков одного типа (букв в нижнем или верхнем регистре, цифр и специальных символов). - Параметр
enforce_for_root
включает принудительную проверку соответствия пароля root правилам.
Ограничение размера tmpfs
При многократном монтировании tmpfs необходимо ограничить их размер во избежание заполнения всей системной памяти. Параметр
mntopts=size=<размер>
в /etc/namespace.conf
позволяет это сделать.
Блокирование неактивных учетных записей
Дополнительная функция в модуле
pam_lastlog
позволяет заблокировать учетную запись, которая была неактивной на протяжении заданного периода времени.
Режимы libica
Библиотека
libica
, которая предоставляет набор функций для доступа к обрудованию IBM eServer Cryptographic Accelerator в IBM System z, теперь включает дополнительные алгоримы, поддерживающие использование инструкций Message Security Assist Extension 4 в CPACF (Central Processor Assist for Cryptographic Function). Алгоримы для шифров DES и 3DES:
- Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
- Cipher-based Message Authentication Code (CMAC)
Режимы для шифра AES:
- Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
- Counter with Cipher Block Chaining Message Authentication Code (CCM)
- Galois/Counter (GCM)
Такое ускорение комплексных криптографических алгоритмов значительно повышает производительность в IBM System z.
Оптмизация и поддержка библиотеки zlib
для System z
Улучшена производительность сжатия библиотеки
zlib
в системах IBM System z.
Резервная конфигурация межсетевого экрана
iptables
и ip6tables
теперь позволяют определить запасную конфигурацию межсетевого экрана на случай, если стандартная конфигурация (из /etc/sysconfig/iptables
) не смогла быть применена. Резервный файл носит имя /etc/sysconfig/iptables.fallback
и следует формату iptables-save
так же как и /etc/sysconfig/iptables
. Резервный файл может быть создан при помощи стандартных инструментов конфигурации межсетевого экрана с последующим переименованием.