7.11. Безопасность (машинный перевод)

OpenSCAP rpmverifypackage не работает правильно

chdir а также chroot системные вызовы вызываются дважды rpmverifypackage зонд. Следовательно, ошибка возникает, когда зонд используется во время OpenSCAP сканировать с использованием пользовательского содержимого Open Oulnerability and Assessment Language (OVAL).

Чтобы обойти эту проблему, не используйте rpmverifypackage_test OVAL проверить в вашем контенте или использовать только контент из scap-security-guide пакет где rpmverifypackage_test не используется

(BZ#1646197)

libssh не соответствует общесистемной политике шифрования

libssh библиотека не поддерживает общесистемные параметры криптографической политики. Как следствие, набор поддерживаемых алгоритмов не изменяется, когда администратор изменяет уровень политик шифрования, используя update-crypto-policies команда.

Чтобы обойти эту проблему, набор рекламируемых алгоритмов должен быть установлен индивидуально каждым приложением, которое использует libssh В результате, когда для системы задан уровень политики LEGACY или FUTURE, приложения, использующие libssh вести себя непоследовательно по сравнению с OpenSSH

(BZ#1646563)

SCAP Workbench не в состоянии генерировать основанные на результатах исправления из настроенных профилей

Следующая ошибка возникает при попытке создать роли исправления на основе результатов из настроенного профиля с помощью SCAP Workbench инструмент:

Error generating remediation role .../remediation.sh: Exit code of oscap was 1: [output truncated]

Чтобы обойти эту проблему, используйте oscap команда с --tailoring-file вариант.

(BZ#1640715)

OpenSCAP rpmverifyfile не работает

OpenSCAP сканер неправильно меняет текущий рабочий каталог в автономном режиме, а fchdir функция не вызывается с правильными аргументами в OpenSCAP rpmverifyfile зонд. Следовательно, сканирование произвольных файловых систем с использованием oscap-chroot команда не выполняется, если rpmverifyfile_test используется в контенте SCAP. В следствии, oscap-chroot прерывается в описанном сценарии.

(BZ#1636431)

Утилита для проверки безопасности и соответствия контейнеров недоступна

В Red Hat Enterprise Linux 7 oscap-docker Утилита может использоваться для сканирования контейнеров Docker на основе технологий Atomic. В Red Hat Enterprise Linux 8, связанной с Docker и Atomic OpenSCAP Команды недоступны. В следствии, oscap-docker или эквивалентная утилита для проверки контейнеров на предмет безопасности и соответствия в настоящее время недоступна в RHEL 8.

(BZ#1642373)