Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
Глава 6. Безопасность
Поиск записей пользователей sudo
sudo позволяет выполнить поиск записей пользователей в
/etc/nsswitch.conf и соответствующих файлах в LDAP. Раньше даже если соотвествие было найдено, поиск продолжался в других базах данных (и файлах). Теперь в /etc/nsswitch.conf можно добавить параметр, который позволяет определить базу данных, после проверки которой поиск будет остановлен, что повышает эффективность поиска в больших окружениях. Для этого следует добавить [SUCCESS=return] после интересующей базы данных. Если соответствие найдено, поиск будет прекращен.
Дополнительные проверки пароля в pam_cracklib
В модуль
pam_cracklib добавлено несколько новых проверок защиты пароля:
- Некоторые правила запрещают использование паролей с упорядоченными последовательностями букв и цифр (например: abcd, 98765). Новый параметр
maxsequenceпозволяет ограничить длину последовательности. pam_cracklibпозволяет проверить, не содержит ли пароль слова из поля GECOS в/etc/passwd. Поле GECOS содержит дополнительную информацию о пользователе: полное имя, пароль, номер телефона.- Параметр
maxrepeatclassпозволяет определить максимальное число последовательных знаков одного типа (букв в нижнем или верхнем регистре, цифр и специальных символов). - Параметр
enforce_for_rootвключает принудительную проверку соответствия пароля root правилам.
Ограничение размера tmpfs
При многократном монтировании tmpfs необходимо ограничить их размер во избежание заполнения всей системной памяти. Параметр
mntopts=size=<размер> в /etc/namespace.conf позволяет это сделать.
Блокирование неактивных учетных записей
Дополнительная функция в модуле
pam_lastlog позволяет заблокировать учетную запись, которая была неактивной на протяжении заданного периода времени.
Режимы libica
Библиотека
libica, которая предоставляет набор функций для доступа к обрудованию IBM eServer Cryptographic Accelerator в IBM System z, теперь включает дополнительные алгоримы, поддерживающие использование инструкций Message Security Assist Extension 4 в CPACF (Central Processor Assist for Cryptographic Function). Алгоримы для шифров DES и 3DES:
- Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
- Cipher-based Message Authentication Code (CMAC)
Режимы для шифра AES:
- Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
- Counter with Cipher Block Chaining Message Authentication Code (CCM)
- Galois/Counter (GCM)
Такое ускорение комплексных криптографических алгоритмов значительно повышает производительность в IBM System z.
Оптмизация и поддержка библиотеки zlib для System z
Улучшена производительность сжатия библиотеки
zlib в системах IBM System z.
Резервная конфигурация межсетевого экрана
iptables и ip6tables теперь позволяют определить запасную конфигурацию межсетевого экрана на случай, если стандартная конфигурация (из /etc/sysconfig/iptables) не смогла быть применена. Резервный файл носит имя /etc/sysconfig/iptables.fallback и следует формату iptables-save так же как и /etc/sysconfig/iptables. Резервный файл может быть создан при помощи стандартных инструментов конфигурации межсетевого экрана с последующим переименованием.