Глава 11. Безопасность

Поддержка TLS 1.2

Основные системные компоненты, в том числе Yum, stunnel, vsftp, Git и Postfix, теперь поддерживают TLS 1.2. Это помогает обеспечить должный уровень защиты от уязвимостей, свойственных предыдущим версиям протокола.

Поддержка TLS 1.2 в NSS

В целях соответствия современным стандартам информационной безопасности, начиная с этого обновления, NSS будет использовать TLS 1.2 по умолчанию. Это означает, что администратору больше не надо будет явно выбирать эту версию протокола.

pycurl предусматривает выбор между TLS 1.1 и 1.2

pycurl поддерживает новые параметры для выбора между TLS 1.1 и TLS 1.2, тем самым обеспечивая дополнительный уровень гибкости в вопросах защиты сетевого обмена данными.

PHP cURL поддерживает TLS 1.1 и TLS 1.2

Поддержка TLS 1.1 и TLS 1.2, которая уже была реализована в curl, теперь представлена и в расширении cURL для PHP.

Libreswan вместо openswan

В этом обновлении вместо Openswan представлен пакет Libreswan, предлагающий более стабильную и безопасную реализацию VPN-соединений. Libreswan уже используется в Red Hat Enterprise Linux 7 и будет установлен в Red Hat Enterprise Linux 6 в ходе планового обновления.
Пакеты openswan по-прежнему будут доступны в репозитории, и при желании их можно будет установить, вызвав yum с ключом -x, например: yum install openswan -x libreswan

Поддержка SELinux в GlusterFS

Благодаря интеграции поддержки мандатного управления доступом в Red Hat Gluster Storage, процессы glusterd (управляющая служба GlusterFS) и glusterfsd (NFS-сервер) теперь могут работать с SELinux.

shadow-utils 4.1.5.1

Пакет shadow-utils, предоставляющий утилиты для управления учетными записями пользователей и групп, был обновлен до версии 4.1.5.1, которая уже успешно используется в Red Hat Enterprise Linux 7. Среди отличий можно отметить улучшенные возможности аудита, в том числе для операций, выполняемых администратором в базе данных пользователей. Отдельно следует упомянуть возможность выполнения действий в окружении chroot: для этого в строке команды надо всего лишь добавить ключ --root.

audit 2.4.5

Пакет audit предоставляет ряд утилит пространства пользователя для отслеживания системных событий и поиска информации о событиях в журналах, генерируемых подсистемой ядра audit. Отличительной особенностью обновленной версии audit 2.4.5 является высокий уровень детализации системных вызовов и их аргументов, что позволяет более точно интерпретировать полученную статистику.
auditd несколько видоизменил подход к записи событий на диск, поэтому, если в файле конфигурации auditd.conf, в строке flush, был выбран режим data или sync, вы заметите некоторое снижение производительности auditd при регистрации событий в журнале. Дело в том, что раньше auditd не сообщал ядру о необходимости полной синхронизации буфера надлежащим образом, — это удалось исправить, однако ценой повышения надежности синхронизации стало снижение производительности. Если разница в производительности для вас неприемлема, измените значение параметра flush на incremental и установите параметр freq, чтобы настроить частоту записи данных из буфера на диск: freq = 100 должно быть достаточно для обеспечения баланса между числом синхронизируемых записей и производительностью.

LWP: подтверждение имени узла и сертификата

Библиотека LWP для доступа к WWW из Perl (libwww-perl) позволяет проверить подлинность сертификата и имени узла (эта возможность отключена по умолчанию). Теперь при использовании модуля LWP::UserAgent пользователь сможет проверить происхождение сервера HTTPS, к которому он обращается. Для активации новых возможностей необходимо установить еще один модуль Perl — IO::Socket::SSL — и присвоить переменной окружения PERL_LWP_SSL_VERIFY_HOSTNAME значение 1 или же модифицировать приложение так, чтобы оно настраивало параметр ssl_opts. За подробной информацией обратитесь к POD по LWP::UserAgent POD.

Perl Net:SSLeay поддерживает эллиптические параметры

Модуль Net:SSLeay, определяющий привязки для OpenSSL, унаследовал некоторые процедуры из основной ветви разработки: EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() и OBJ_txt2nid(). Они используются модулем IO::Socket::SSL для организации обмена ключами по алгоритму Диффи — Хеллмана на эллиптических кривых (ECDHE, Elliptic Curve Diffie–Hellman Exchange).

Perl IO::Socket::SSL поддерживает ECDHE

Как можно понять из вышесказанного, модуль IO::Socket::SSL теперь поддерживает ECDHE. Новый параметр SSL_ecdh_curve позволяет выбрать эллиптическую кривую, указав ее объектный идентификатор (OID, Object Identifier) или имя (NID, Name Identifier). Таким образом, разработчик может переопределить кривую при настройке клиента TLS с помощью IO::Socket:SSL.

openscap 1.2.8

OpenSCAP, предоставляющий набор библиотек для интеграции со стандартами SCAP, был обновлен до последней официальной версии 1.2.8. Среди основных изменений следует отметить поддержку дополнительных версий языка OVAL (OVAL-5.11 и OVAL-5.11.1); режим подробного вывода для облегчения чтения и анализа полученной в ходе сканирования информации; новые команды oscap-ssh и oscap-vm для сканирования по SSH и сканирования неактивных виртуальных машин соответственно; нативную поддержку архивов bz2, а также усовершенствованный интерфейс HTML-отчетов и рекомендаций.

scap-workbench 1.1.1

Пакет scap-workbench был обновлен до версии 1.1.1. Новый диалог интеграции с SCAP Security Guide позволяет выбрать конкретный продукт для проверки вместо выбора отдельных файлов. Помимо этого, обновленная версия предлагает целый ряд усовершенствований, касающихся производительности и взаимодействия с пользователем, включая оптимизацию поиска правил и возможность включения удаленных ресурсов в формат SCAP в окне пользовательского интерфейса.

scap-security-guide 0.1.28

Пакет scap-security-guide был обновлен до последней официальной версии 0.1.28, предлагающей ряд исправлений и дополнений, в том числе новые профили для Red Hat Enterprise Linux 6 и 7; новые автоматизированные проверки и коррективные сценарии для широкого спектра правил; понятные и единообразные идентификаторы OVAL вне зависимости от релиза; сопровождающие рекомендации в формате HTML для всех профилей.

Отключение SSLv3 и RC4 в luci

luci — веб-ориентированное приложение для администрирования инфраструктуры High Availability. Решение об отключении протокола SSLv3 и алгоритма RC4 в luci было обусловлено известными проблемами с их безопасностью. При необходимости протокол SSLv3 можно снова включить, но делать это стоит только в исключительных ситуациях, вызванных острой необходимостью, при этом сохраняя предельную осторожность.