Глава 13. Безопасность

Scap-security-guide

Пакет scap-security-guide предоставляет рекомендации спецификации SCAP (Security Content Automation Protocol), стандартные профили, механизмы проверки и необходимые данные для проверки соответствия системы требованиям безопасности (текстовое описание и автоматический тест). Автоматический тест может выполняться регулярно, тем самым обеспечивая удобный и надежный метод проверки.
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

SELinux

В Red Hat Enterprise Linux 7.1 стратегия SELinux подверглась изменениям: сервисы, для которых не были определены правила, работавшие в домене init_t, теперь будут выполняться в домене unconfined_service_t. Подробно этот вопрос обсуждается в главе Неограниченные процессы в руководстве SELinux.

OpenSSH

Комплект OpenSSH обновлен до версии 6.6.1p1.
  • Добавлена поддержка обмена ключами в соответствии с алгоритмом Диффи-Хеллмана на эллиптических кривых Curve25519. Этот метод используется по умолчанию сервером и клиентом при условии, что они его поддерживают.
  • Добавлена поддержка оптимизированного по быстродействию алгоритма Ed25519 на эллиптических кривых, который может использоваться для расчета ключей как на стороне клиента, так и хоста, и обеспечивает более высокий уровень защиты по сравнению с ECDSA и DSA.
  • Добавлен новый формат закрытого ключа на базе bcrypt. Ключи Ed25519 используют этот формат по умолчанию.
  • Новый шифр chacha20-poly1305@openssh.com объединяет поточный шифр ChaCha20 и код аутентификации сообщений Poly1305.

Libreswan

Libreswan, открытая программная реализация VPN на базе IPsec, обновлена до версии 3.12.
  • Добавлены новые шифры.
  • IKEv2 support has been improved.
  • IKEv1 и IKEv2 поддерживают цепочки промежуточных сертификатов.
  • Оптимизировано управление соединениями.
  • Улучшена совместимость с OpenBSD, Cisco и Android.
  • Усовершенствована поддержка systemd.
  • Добавлена поддержка хэшированных запросов CERTREQ и статистики трафика.

Trusted Network Connect

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • Аттестация IMV поддерживает TPMRA (TPM Remote Attestation).
  • Добавлена поддержка REST API с SWID IMV на базе JSON.
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • Исправлены ошибки в протоколах IF-TNCCS (PB-TNC, IF-M (PA-TNC)) и в OS IMC/IMV.

GnuTLS

Свободная реалзиация GnuTLS для протоколов SSL, TLS и DTLS обновлена до версии 3.3.8.
  • Добавлена поддержка DTLS 1.2.
  • Добавлена поддержка расширения ALPN (Application Layer Protocol Negotiation).
  • Оптизирована работа комплектов шифрования, использующих алгоритмы на основе эллиптических кривых.
  • Добавлены шифры RSA-PSK и CAMELLIA-GCM.
  • Добавлена поддержка TPM (Trusted Platform Module).
  • Добавлена поддержка смарт-карт PKCS#11 и улучшена поддержка аппаратных модулей HSM (Hardware Security Modules).
  • Улучшено соответствие требованиям федеральных стандартов FIPS 140 (Federal Information Processing Standards).