Глава 6. Безопасность

Поиск записей пользователей sudo

sudo позволяет выполнить поиск записей пользователей в /etc/nsswitch.conf и соответствующих файлах в LDAP. Раньше даже если соотвествие было найдено, поиск продолжался в других базах данных (и файлах). Теперь в /etc/nsswitch.conf можно добавить параметр, который позволяет определить базу данных, после проверки которой поиск будет остановлен, что повышает эффективность поиска в больших окружениях. Для этого следует добавить [SUCCESS=return] после интересующей базы данных. Если соответствие найдено, поиск будет прекращен.

Дополнительные проверки пароля в pam_cracklib

В модуль pam_cracklib добавлено несколько новых проверок защиты пароля:
  • Некоторые правила запрещают использование паролей с упорядоченными последовательностями букв и цифр (например: abcd, 98765). Новый параметр maxsequence позволяет ограничить длину последовательности.
  • pam_cracklib позволяет проверить, не содержит ли пароль слова из поля GECOS в /etc/passwd. Поле GECOS содержит дополнительную информацию о пользователе: полное имя, пароль, номер телефона.
  • Параметр maxrepeatclass позволяет определить максимальное число последовательных знаков одного типа (букв в нижнем или верхнем регистре, цифр и специальных символов).
  • Параметр enforce_for_root включает принудительную проверку соответствия пароля root правилам.

Ограничение размера tmpfs

При многократном монтировании tmpfs необходимо ограничить их размер во избежание заполнения всей системной памяти. Параметр mntopts=size=<размер> в /etc/namespace.conf позволяет это сделать.

Блокирование неактивных учетных записей

Дополнительная функция в модуле pam_lastlog позволяет заблокировать учетную запись, которая была неактивной на протяжении заданного периода времени.

Режимы libica

Библиотека libica, которая предоставляет набор функций для доступа к обрудованию IBM eServer Cryptographic Accelerator в IBM System z, теперь включает дополнительные алгоримы, поддерживающие использование инструкций Message Security Assist Extension 4 в CPACF (Central Processor Assist for Cryptographic Function). Алгоримы для шифров DES и 3DES:
  • Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
  • Cipher-based Message Authentication Code (CMAC)
Режимы для шифра AES:
  • Cipher Block Chaining with Ciphertext Stealing (CBC-CS)
  • Counter with Cipher Block Chaining Message Authentication Code (CCM)
  • Galois/Counter (GCM)
Такое ускорение комплексных криптографических алгоритмов значительно повышает производительность в IBM System z.

Оптмизация и поддержка библиотеки zlib для System z

Улучшена производительность сжатия библиотеки zlib в системах IBM System z.

Резервная конфигурация межсетевого экрана

iptables и ip6tables теперь позволяют определить запасную конфигурацию межсетевого экрана на случай, если стандартная конфигурация (из /etc/sysconfig/iptables) не смогла быть применена. Резервный файл носит имя /etc/sysconfig/iptables.fallback и следует формату iptables-save так же как и /etc/sysconfig/iptables. Резервный файл может быть создан при помощи стандартных инструментов конфигурации межсетевого экрана с последующим переименованием.