第 6 章 安全性

在查找 sudoer 条目时以命令方式对待匹配的条目

sudo 程序可以咨询 /etc/nsswitch.conf 文件检查 sudoer 条目,并在文件或者 LDAP 中查找它们。之前,当在 sudoer 条目的第一个数据库中找到匹配后,会继续在其他数据库(包括文件)中进行查找操作。红帽企业版 Linux 6.4 在 /etc/nsswitch.conf 文件中添加了一个选项,允许用户在有 sudoer 匹配后指定数据库。这样会消除对其他数据库的查询,以便改进在大环境中查找 sudoer 条目的性能。这个行为不是默认启用的,且必须在选择数据库后添加 [SUCCESS=return] 进行配置。当在优先于这个字符串的数据库中找到匹配时,就不会查询其他数据库。

pam_cracklib 的额外密码检查

已将 pam_cracklib 模块更新至添加多个新密码强度检查:
  • 某些认证策略不允许包含连续字符(比如 “abcd” 或者 “98765”)的密码。这个使用新的 maxsequence 选项引进限制这些字符长度的可能性。
  • pam_cracklib 模块现在允许检查新的密码是否包含来自 /etc/passwd 文件中 GECOS 字段的单词。GECOS 字段是用来保存关于用户附加信息(比如用户全名或者电话号码)的字段,攻击者可能会使用这些信息尝试破解密码。
  • pam_cracklib 模块现在允许使用 maxrepeatclass 指定密码中连续使用同一类型字符串(小写、大写、数字和特殊字符)最大数字。
  • pam_cracklib 模块现在支持 enforce_for_root 选项,该选项为 root 帐户强制限制新密码的复杂程度。

tmpfs 多实例化的 size 选项

在使用多个 tmpfs 挂载的系统中,需要限制其大小以放置它们占用所有系统资源。已将 PAM 更新至允许用户指定 tmpfs 文件系统挂载的最大值,方法是在 /etc/namespace.conf 配置文件中使用 mntopts=size=<size> 选项。

锁定不活跃的帐户

某些认证策略要求支持锁定在一段时间内没有使用的帐户。红帽企业版 Linux 6.4 在 pam_lastlog 中引进附加功能,允许用户在配置的天数后锁定帐户。

libica 的新操作模式

libica 库包含一组访问 IBM System z 中 IBM eServer 密码加速器(ICA)硬件的功能和程序,已将其修改为允许使用支持加密功能的中央处理器支持(CPACF)中信息安全支持扩展 4 指令的新算法。在 DES 和 3DES 块加密中支持以下操作模式:
  • 使用密码电文失窃(CBC-CS)的密码块链
  • 基于密码信息的认证代码(CMAC)
在 AES 块密码中现在支持以下操作模式:
  • 使用密码电文失窃(CBC-CS)的密码块链
  • 使用密码块链信息认证代码(CCM)的计数器
  • Galois/计数器(GCM)
这个复杂加密算法加速程序显著提高了 IBM Systemz 机器的性能。

为 System z 优化和支持 zlib 压缩库

zlib 是一个常规使用无损数据压缩库,已将其更新到提高 IBM System z 中的压缩功能。

退回防火墙配置

如果无法使用默认配置,iptablesip6tables 服务现在提供分配退回防火墙配置的功能。如果采用 /etc/sysconfig/iptables 中的防火墙规则失败,则会采用现在的退回文件。退回文件名为 /etc/sysconfig/iptables.fallback,采用 iptables-save 文件格式(与 /etc/sysconfig/iptables 相同)。如果采用退回文件仍失败,则没有进一步的退回设置。要生成退回文件,请使用标准防火墙配置工具,并将该文件重命名或者复制到退回文件中。在 ip6tables 服务中可采用同样的步骤,只需要使用 ip6tables 替换所有 iptables