Show Table of Contents
OpenSSH и
Глава 16. Безопасность
OpenSSH и chroot
Пользователи Linux сопоставляются пользователям SELinux в соответствии с правилами политики SELinux. По умолчанию выбирается unconfined_u.
В Red Hat Enterprise Linux 7 параметр
ChrootDirectory может использоваться неограниченными пользователями без каких-либо ограничений, а для ограниченных пользователей ( таких как staff_u, user_u и guest_u ) надо будет установить переменную selinuxuser_use_ssh_chroot. Для обеспечения необходимого уровня защиты при установке параметра ChrootDirectory рекомендуется использовать пользователя guest_u для всех пользователей с измененным корневым каталогом.
Несколько методов аутентификации
Red Hat Enterprise Linux 7.0 допускает использование нескольких методов аутентификации соединений SSH 2. Для этой цели служит параметр
AuthenticationMethods, который содержит список методов через запятую. Для успешной аутентификации необходимо, чтобы все перечисленные методы были завершены успешно. Например, это позволяет аутентифицировать пользователя с помощью открытого ключа или GSSAPI, а затем запросить ввод пароля.
GSS Proxy
GSS Proxy выполняет роль посредника при установке контекста GSS API Kerberos от имени других приложений. Это значительно усиливает безопасность, особенно в ситуациях, когда несколько процессов обращаются к одному файлу keytab, так как в противном случае успешная атака на один процесс увеличит риск подделки других процессов.
NSS
Пакеты nss обновлены до версии 3.15.2. Подписи, использующие алгоритмы MD2 (Message-Digest), MD4 и MD5, больше не будут приниматься протоколом OCSP (Online Certificate Status Protocol) и списками отозванных сертификатов (CRL, Certificate Revocation List).
С обновлением TLS до версии 1.2 была добавлена поддержка шифрования AES-GCM (Advanced Encryption Standard Galois Counter Mode) в соответствии со стандартами RFC 5288 и RFC 5289. Поддерживаются режимы:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
SCAP Workbench
Предварительный выпуск SCAP Workbench предоставляет графический интерфейс для проверок SCAP.
Дальнейшую информацию можно найти на странице проекта:
Модуль OSCAP для Anaconda
Red Hat Enterprise Linux 7.0 включает предварительную версию модуля OSCAP для Anaconda. Этот модуль интегрирует утилиты OpenScap в процесс установки, тем самым учитывая требования SCAP уже на стадии установки новой системы.
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.