Глава 11. Безопасность

Основные системные компоненты, в том числе Yum, stunnel, vsftp, Git и Postfix, теперь поддерживают TLS 1.2. Это помогает обеспечить должный уровень защиты от уязвимостей, свойственных предыдущим версиям протокола.

В целях соответствия современным стандартам информационной безопасности, начиная с этого обновления, NSS будет использовать TLS 1.2 по умолчанию. Это означает, что администратору больше не надо будет явно выбирать эту версию протокола.

pycurl поддерживает новые параметры для выбора между TLS 1.1 и TLS 1.2, тем самым обеспечивая дополнительный уровень гибкости в вопросах защиты сетевого обмена данными.

Поддержка TLS 1.1 и TLS 1.2, которая уже была реализована в curl, теперь представлена и в расширении cURL для PHP.

В этом обновлении вместо Openswan представлен пакет Libreswan, предлагающий более стабильную и безопасную реализацию VPN-соединений. Libreswan уже используется в Red Hat Enterprise Linux 7 и будет установлен в Red Hat Enterprise Linux 6 в ходе планового обновления.

Пакеты openswan по-прежнему будут доступны в репозитории, и при желании их можно будет установить, вызвав yum с ключом -x, например: yum install openswan -x libreswan

Благодаря интеграции поддержки мандатного управления доступом в Red Hat Gluster Storage, процессы glusterd (управляющая служба GlusterFS) и glusterfsd (NFS-сервер) теперь могут работать с SELinux.

Пакет shadow-utils, предоставляющий утилиты для управления учетными записями пользователей и групп, был обновлен до версии 4.1.5.1, которая уже успешно используется в Red Hat Enterprise Linux 7. Среди отличий можно отметить улучшенные возможности аудита, в том числе для операций, выполняемых администратором в базе данных пользователей. Отдельно следует упомянуть возможность выполнения действий в окружении chroot: для этого в строке команды надо всего лишь добавить ключ --root.

Пакет audit предоставляет ряд утилит пространства пользователя для отслеживания системных событий и поиска информации о событиях в журналах, генерируемых подсистемой ядра audit. Отличительной особенностью обновленной версии audit 2.4.5 является высокий уровень детализации системных вызовов и их аргументов, что позволяет более точно интерпретировать полученную статистику.

auditd несколько видоизменил подход к записи событий на диск, поэтому, если в файле конфигурации auditd.conf, в строке flush, был выбран режим data или sync, вы заметите некоторое снижение производительности auditd при регистрации событий в журнале. Дело в том, что раньше auditd не сообщал ядру о необходимости полной синхронизации буфера надлежащим образом, — это удалось исправить, однако ценой повышения надежности синхронизации стало снижение производительности. Если разница в производительности для вас неприемлема, измените значение параметра flush на incremental и установите параметр freq, чтобы настроить частоту записи данных из буфера на диск: freq = 100 должно быть достаточно для обеспечения баланса между числом синхронизируемых записей и производительностью.

Библиотека LWP для доступа к WWW из Perl (libwww-perl) позволяет проверить подлинность сертификата и имени узла (эта возможность отключена по умолчанию). Теперь при использовании модуля LWP::UserAgent пользователь сможет проверить происхождение сервера HTTPS, к которому он обращается. Для активации новых возможностей необходимо установить еще один модуль Perl — IO::Socket::SSL — и присвоить переменной окружения PERL_LWP_SSL_VERIFY_HOSTNAME значение 1 или же модифицировать приложение так, чтобы оно настраивало параметр ssl_opts. За подробной информацией обратитесь к POD по LWP::UserAgent POD.

Модуль Net:SSLeay, определяющий привязки для OpenSSL, унаследовал некоторые процедуры из основной ветви разработки: EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() и OBJ_txt2nid(). Они используются модулем IO::Socket::SSL для организации обмена ключами по алгоритму Диффи — Хеллмана на эллиптических кривых (ECDHE, Elliptic Curve Diffie–Hellman Exchange).

Как можно понять из вышесказанного, модуль IO::Socket::SSL теперь поддерживает ECDHE. Новый параметр SSL_ecdh_curve позволяет выбрать эллиптическую кривую, указав ее объектный идентификатор (OID, Object Identifier) или имя (NID, Name Identifier). Таким образом, разработчик может переопределить кривую при настройке клиента TLS с помощью IO::Socket:SSL.

OpenSCAP, предоставляющий набор библиотек для интеграции со стандартами SCAP, был обновлен до последней официальной версии 1.2.8. Среди основных изменений следует отметить поддержку дополнительных версий языка OVAL (OVAL-5.11 и OVAL-5.11.1); режим подробного вывода для облегчения чтения и анализа полученной в ходе сканирования информации; новые команды oscap-ssh и oscap-vm для сканирования по SSH и сканирования неактивных виртуальных машин соответственно; нативную поддержку архивов bz2, а также усовершенствованный интерфейс HTML-отчетов и рекомендаций.

Пакет scap-workbench был обновлен до версии 1.1.1. Новый диалог интеграции с SCAP Security Guide позволяет выбрать конкретный продукт для проверки вместо выбора отдельных файлов. Помимо этого, обновленная версия предлагает целый ряд усовершенствований, касающихся производительности и взаимодействия с пользователем, включая оптимизацию поиска правил и возможность включения удаленных ресурсов в формат SCAP в окне пользовательского интерфейса.

Пакет scap-security-guide был обновлен до последней официальной версии 0.1.28, предлагающей ряд исправлений и дополнений, в том числе новые профили для Red Hat Enterprise Linux 6 и 7; новые автоматизированные проверки и коррективные сценарии для широкого спектра правил; понятные и единообразные идентификаторы OVAL вне зависимости от релиза; сопровождающие рекомендации в формате HTML для всех профилей.

luci — веб-ориентированное приложение для администрирования инфраструктуры High Availability. Решение об отключении протокола SSLv3 и алгоритма RC4 в luci было обусловлено известными проблемами с их безопасностью. При необходимости протокол SSLv3 можно снова включить, но делать это стоит только в исключительных ситуациях, вызванных острой необходимостью, при этом сохраняя предельную осторожность.