4.14. Безопасность (машинный перевод)

Руководство по безопасности SCAP Профиль PCI-DSS соответствует версии 3.2.1

SCAP Security Guide Проект предоставляет профиль PCI-DSS (Стандарт безопасности данных индустрии платежных карт) для Red Hat Enterprise Linux 8, и он был обновлен в соответствии с последней версией PCI-DSS - 3.2.1.

(BZ#1618528)

OpenSSH перебазирован на версию 7.8p1

openssh пакеты были обновлены до версии 7.8p1. Заметные изменения включают в себя:

  • Удалена поддержка SSH version 1 протокол.
  • Удалена поддержка hmac-ripemd160 код аутентификации сообщения.
  • Убрана поддержка RC4 (arcfour) шифры.
  • Удалена поддержка Blowfish шифры.
  • Удалена поддержка CAST шифры.
  • Изменено значение по умолчанию UseDNS возможность no
  • инвалид DSA алгоритмы открытых ключей по умолчанию.
  • Изменен минимальный размер модуля для Diffie-Hellman параметры до 2048 бит.
  • Изменилась семантика ExposeAuthInfo Вариант конфигурации.
  • UsePrivilegeSeparation=sandbox опция теперь обязательна и не может быть отключена.
  • Установите минимально допустимое RSA размер ключа до 1024 бит.

(BZ#1622511)

RSA-PSS теперь поддерживается в OpenSC

Это обновление добавляет поддержку схемы криптографической подписи RSA-PSS к OpenSC драйвер смарт-карты. Новая схема обеспечивает безопасный криптографический алгоритм, необходимый для поддержки TLS 1.3 в клиентском программном обеспечении.

(BZ#1595626)

Заметные изменения в rsyslog в RHEL 8

rsyslog пакеты были обновлены до вышестоящей версии 8.37.0, которая содержит множество исправлений ошибок и улучшений по сравнению с предыдущими версиями. Наиболее заметные изменения включают в себя:

  • Улучшенная обработка Rsyslog внутренние сообщения; возможность ограничения их скорости; исправлен возможный тупик.
  • Улучшенное ограничение скорости в целом; Настоящий источник спама сейчас зарегистрирован.
  • Улучшена обработка негабаритных сообщений - теперь пользователь может настроить обработку их как в ядре, так и в определенных модулях с помощью отдельных действий.
  • mmnormalize базы правил теперь могут быть встроены в config файл вместо создания отдельных файлов для них.
  • Теперь пользователь может установить GnuTLS приоритетная строка для imtcp это позволяет детально контролировать шифрование.
  • Все config переменные, включая переменные в JSON, теперь не чувствительны к регистру.
  • Различные улучшения вывода PostgreSQL.
  • Добавлена возможность использовать переменные оболочки для управления config обработка, такая как условная загрузка дополнительных файлов конфигурации, выполнение операторов или включение текста в config Обратите внимание, что чрезмерное использование этой функции может затруднить отладку Rsyslog
  • Режимы создания 4-значных файлов теперь можно указывать в config
  • Входные данные протокола надежной регистрации событий (RELP) теперь могут связываться также только по указанному адресу.
  • Значение по умолчанию enable.body опция вывода почты теперь приведена в соответствие с документацией
  • Теперь пользователь может указать коды ошибок вставки, которые следует игнорировать в MongoDB выход.
  • Параллельный вход TCP (pTCP) теперь имеет настраиваемое отставание для лучшей балансировки нагрузки.

(BZ#1613880)

новый Rsyslog модуль: omkafka

Включить Кафка централизованные сценарии хранения данных, теперь вы можете пересылать журналы на Кафка инфраструктура с использованием нового omkafka модуль.

(BZ#1542497)

libssh реализует SSH в качестве основного криптографического компонента

Это изменение вводит libssh в качестве основного криптографического компонента в Red Hat Enterprise Linux 8. libssh библиотека реализует протокол Secure SHell (SSH).

Обратите внимание, что libssh не соответствует общесистемной политике шифрования.

(BZ#1485241)

Поддержка PKCS # 11 для смарт-карт и HSM теперь одинакова во всей системе

Благодаря этому обновлению использование смарт-карт и аппаратных модулей безопасности (HSM) с интерфейсом криптографических токенов PKCS # 11 становится согласованным. Это означает, что пользователь и администратор могут использовать один и тот же синтаксис для всех связанных инструментов в системе. Заметные улучшения включают в себя:

  • Поддержка схемы универсального идентификатора ресурса (URI) PKCS # 11, которая обеспечивает упрощенное включение токенов на серверах RHEL как для администраторов, так и для разработчиков приложений.
  • Общесистемный метод регистрации для смарт-карт и HSM, использующих pkcs11.conf
  • Последовательная поддержка для HSM и смарт-карт доступна в NSS, GnuTLS и OpenSSL (через openssl-pkcs11 двигатель) приложения.
  • HTTP-сервер Apache (httpd) теперь без проблем поддерживает HSM.

Для получения дополнительной информации см. pkcs11.conf(5) справочная страница.

(BZ#1516741)

Общесистемные криптографические политики применяются по умолчанию

Крипто-политики - это компонент Red Hat Enterprise Linux 8, который настраивает основные криптографические подсистемы, охватывающие протоколы TLS, IPSec, SSH, DNSSec и Kerberos. Он предоставляет небольшой набор политик, которые администратор может выбрать с помощью update-crypto-policies команда.

DEFAULT Общесистемная криптографическая политика предлагает безопасные настройки для текущих моделей угроз. Он поддерживает протоколы TLS 1.2 и 1.3, а также протоколы IKEv2 и SSH2. Ключи RSA и параметры Диффи-Хеллмана принимаются, если они превышают 2047 бит.

Увидеть Consistent security by crypto policies in Red Hat Enterprise Linux 8 статья в блоге Red Hat и update-crypto-policies(8) Страница man для получения дополнительной информации.

(BZ#1591620)

Руководство по безопасности SCAP поддерживает OSPP 4.2

SCAP Security Guide содержит черновой вариант профиля профиля OSPP (профиль защиты для операционных систем общего назначения) 4.2 для Red Hat Enterprise Linux 8. Этот профиль отражает обязательные элементы управления конфигурацией, указанные в Приложении по настройке NIAP к профилю защиты для операционных систем общего назначения (версия профиля защиты 4.2). Руководство по безопасности SCAP предоставляет автоматизированные проверки и сценарии, которые позволяют пользователям выполнять требования, определенные в OSPP.

(BZ#1618518)

Интерфейс командной строки OpenSCAP был улучшен

Подробный режим теперь доступен во всех oscap модули и субмодули. Вывод инструмента имеет улучшенное форматирование.

Устаревшие параметры были удалены, чтобы улучшить удобство использования интерфейса командной строки.

Следующие опции больше не доступны:

  • --show в oscap xccdf generate report был полностью удален
  • --probe-root в oscap oval eval был удален. Его можно заменить, установив переменную среды, OSCAP_PROBE_ROOT
  • --sce-results в oscap xccdf eval был заменен --check-engine-results
  • validate-xml субмодуль удален из модулей CPE, OVAL и XCCDF. validate субмодули могут быть использованы вместо этого для проверки содержимого SCAP по схемам XML и схемам XSD.
  • oscap oval list-probes команда была удалена, список доступных зондов можно отобразить с помощью oscap --version вместо.

OpenSCAP позволяет оценить все правила в данном эталонном тесте XCCDF независимо от профиля, используя --profile '(all)'

(BZ#1618484)

Поддержка проверки разрешения новой карты на mmap Системный вызов

SELinux map добавлено разрешение для управления отображением в памяти доступа к файлам, каталогам, сокетам и т. д. Это позволяет политике SELinux предотвращать прямой доступ к памяти для различных объектов файловой системы и обеспечивать повторную проверку каждого такого доступа.

(BZ#1592244)

SELinux теперь поддерживает Systemd No New Privileges

Это обновление представляет nnp_nosuid_transition возможность политики, которая позволяет переходы домена SELinux под No New Privileges (NNP) или nosuid если nnp_nosuid_transition допускается между старым и новым контекстами. selinux-policy пакеты теперь содержат политику для Systemd услуги, которые используют NNP функция безопасности.

Следующее правило описывает разрешение этой возможности для службы:

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

Например:

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

Политика распространения теперь также содержит макроинтерфейс m4, который можно использовать в политиках безопасности SELinux для служб, использующих init_nnp_daemon_domain() функция.

(BZ#1594111)

SELinux теперь поддерживает getrlimit разрешение в process учебный класс

Это обновление представляет новую проверку контроля доступа SELinux, process:getrlimit, который был добавлен для prlimit() функция. Это позволяет разработчикам политики SELinux контролировать, когда один процесс пытается прочитать, а затем изменить ограничения ресурсов другого процесса, используя process:setrlimit разрешение. Обратите внимание, что SELinux не ограничивает процесс от манипулирования собственными ограничениями ресурсов через prlimit() Увидеть prlimit(2) а также getrlimit(2) справочные страницы для получения дополнительной информации.

(BZ#1549772)

Поддержка TLS 1.3 в криптографических библиотеках

Это обновление включает транспортную безопасность уровня TLS 1.3 по умолчанию во всех основных внутренних криптобиблиотеках. Это обеспечивает низкую задержку на уровне связи операционной системы и повышает конфиденциальность и безопасность приложений, используя преимущества новых алгоритмов, таких как RSA-PSS или X25519.

(BZ#1516728)

Новые функции в OpenSCAP в RHEL 8

OpenSCAP Пакет обновлен до версии 1.3.0, которая содержит множество улучшений по сравнению с предыдущими версиями. Наиболее заметные особенности включают в себя:

  • API и ABI были объединены - обновленные, устаревшие и / или неиспользуемые символы были удалены.
  • Зонды запускаются не как независимые процессы, а как потоки внутри oscap процесс.
  • Интерфейс командной строки обновлен.
  • Python 2 привязки были заменены Python 3 привязок.

(BZ#1614273)

Аудит 3.0 заменяет audispd с auditd

С этим обновлением функционал audispd был перемещен в auditd В следствии, audispd параметры конфигурации теперь являются частью auditd.conf В дополнение plugins.d каталог был перемещен в /etc/audit Текущий статус auditd и его плагины теперь можно проверить, запустив service auditd state команда.

(BZ#1616428)

Rsyslog imfile теперь поддерживает символические ссылки

С этим обновлением Rsyslog imfile Модуль обеспечивает лучшую производительность и больше вариантов конфигурации. Это позволяет использовать модуль для более сложных случаев использования файлов. Например, теперь вы можете использовать файловые мониторы с шаблонами глобусов в любом месте по настроенному пути и поворачивать цели символических ссылок с повышенной пропускной способностью данных.

(BZ#1614179)

Автоматический OpenSSH генерация ключей сервера теперь обрабатывается sshd-keygen@.service

OpenSSH автоматически создает ключи хоста сервера RSA, ECDSA и ED25519, если они отсутствуют. Чтобы настроить создание ключа хоста в RHEL 8, используйте sshd-keygen@.service конкретизированный сервис.

Например, чтобы отключить автоматическое создание типа ключа RSA:

# systemctl mask sshd-keygen@rsa.service

Увидеть /etc/sysconfig/sshd файл для получения дополнительной информации.

(BZ#1228088)

По умолчанию rsyslog формат файла конфигурации теперь не является устаревшим

Файлы конфигурации в rsyslog пакеты теперь по умолчанию используют нестандартный формат. Устаревший формат все еще можно использовать, однако, смешивание текущих и устаревших операторов конфигурации имеет несколько ограничений. Конфигурации, перенесенные из предыдущих выпусков RHEL, должны быть пересмотрены. Увидеть rsyslog.conf(5) Страница man для получения дополнительной информации.

(BZ#1619645)

Новый булев SELinux

Это обновление системной политики SELinux представляет следующие логические значения:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

Для получения дополнительной информации см. Вывод следующей команды:

# semanage boolean -l

(JIRA:RHELPLAN-10347)