Глава 16. Безопасность

OpenSSH и chroot

Пользователи Linux сопоставляются пользователям SELinux в соответствии с правилами политики SELinux. По умолчанию выбирается unconfined_u.
В Red Hat Enterprise Linux 7 параметр ChrootDirectory может использоваться неограниченными пользователями без каких-либо ограничений, а для ограниченных пользователей ( таких как staff_u, user_u и guest_u ) надо будет установить переменную selinuxuser_use_ssh_chroot. Для обеспечения необходимого уровня защиты при установке параметра ChrootDirectory рекомендуется использовать пользователя guest_u для всех пользователей с измененным корневым каталогом.

Несколько методов аутентификации

Red Hat Enterprise Linux 7.0 допускает использование нескольких методов аутентификации соединений SSH 2. Для этой цели служит параметр AuthenticationMethods, который содержит список методов через запятую. Для успешной аутентификации необходимо, чтобы все перечисленные методы были завершены успешно. Например, это позволяет аутентифицировать пользователя с помощью открытого ключа или GSSAPI, а затем запросить ввод пароля.

GSS Proxy

GSS Proxy выполняет роль посредника при установке контекста GSS API Kerberos от имени других приложений. Это значительно усиливает безопасность, особенно в ситуациях, когда несколько процессов обращаются к одному файлу keytab, так как в противном случае успешная атака на один процесс увеличит риск подделки других процессов.

NSS

Пакеты nss обновлены до версии 3.15.2. Подписи, использующие алгоритмы MD2 (Message-Digest), MD4 и MD5, больше не будут приниматься протоколом OCSP (Online Certificate Status Protocol) и списками отозванных сертификатов (CRL, Certificate Revocation List).
С обновлением TLS до версии 1.2 была добавлена поддержка шифрования AES-GCM (Advanced Encryption Standard Galois Counter Mode) в соответствии со стандартами RFC 5288 и RFC 5289. Поддерживаются режимы:
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP Workbench

Предварительный выпуск SCAP Workbench предоставляет графический интерфейс для проверок SCAP.
Дальнейшую информацию можно найти на странице проекта:

Модуль OSCAP для Anaconda

Red Hat Enterprise Linux 7.0 включает предварительную версию модуля OSCAP для Anaconda. Этот модуль интегрирует утилиты OpenScap в процесс установки, тем самым учитывая требования SCAP уже на стадии установки новой системы.