Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
第 11 章 安全性
TLS 1.2 支持添加到基本系统组件
使用这些更新将基本系统工具(比如
Yum、stunnel、vsftp、Git 或者 Postfix)修改为支持 TLS 协议版本 1.2。这样可保证那些工具不会受该协议旧版本中安全漏洞的影响。
NSS 现在默认使用 TLS 1.2 协议
为满足当前最佳安全实践,NSS 默认启用 TLS 1.2 协议。这意味着不再需要特别说明。
pycurl 现在提供要求使用 TLSv1.1 或 1.2 的选项
使用这个更新加强
pycurl 以支持可用来要求使用 TLS 协议版本 1.1 或 1.2 的选项,这样可改进通讯安全。
PHP cURL 模块现在支持 TLS 1.1 和 TLS 1.2
支持 TLS 协议版本 1.1 和 1.2,这两个版本之前由
curl 库提供,现已将其添加到 PHP cURL 扩展。
openswan 弃用而使用 libreswan
已启用 openswan 软件包,并引进 libreswan 软件包直接替换 openswan。libreswan 是用于 Red Hat Enterprise Linux 6 的更稳定和安全的 VPN 解决方案。libreswan 已作为 Red Hat Enterprise Linux 7 的 VPN 解决方案使用。在系统升级过程中会使用 libreswan 替换 openswan。
注:存储库中仍保留了 openswan 软件包。要安装 openswan 而不是 libreswan,请使用
yum 的 -x 选项排除 _openswan_: yum install openswan -x libreswan。
为 GlusterFS 添加 SELinux 支持
这个更新为作为 Red Hat Gluster Storage 一部分的 glusterd(GlusterFS 管理服务)及 glusterfsd(NFS 服务器)提供 SELinux 强制访问控制。
shadow-utils 复位至版本 4.1.5.1
shadow-utils 软件包为管理用户和组帐户提供程序,现已将其复位至版本 4.1.5.1。这与 Red Hat Enterprise Linux 7 中的 shadow-utils 是一个版本。改进包括改善审核,将其改为在用户帐户数据库中提供更好的系统管理员操作记录。添加到这个软件包的主要新功能是支持使用各自工具的
--root 选项在 chroot 环境中的操作。
audit 复位至版本 2.4.5
audit 软件包为保存和搜索由 Linux 内核中的
audit 生成的审核记录提供用户空间程序,现已将其复位至版本 2.4.5。这个更新包括加强的事件解析工具,该工具提供更多系统调用名称及参数,以便您理解事件。
这个更新还在
auditd 记录事件的方式上有重要行为变化。如果要在 auditd.conf 中使用 data 或者 sync 模式进行 flush 设置,则会看到 auditd 记录事件的能力有所下降。这是因为之前没有正确通知内核应使用完全同步写入。这样做是正确的,可提高操作的可靠性,但会消耗大量性能。如果不能忍受性能下降,则应将 flush 设置改为 incremental,同时 freq 设置将控制 auditd 指导内核在磁盘中同步所有记录的频率。将 freq 设定为 100 应该可以保证良好性能,同时确定可周期性将新纪录刷新到磁盘中。
LWP 现在支持主机名及证书验证
已在万维网站为 Perl(LWP,也称 libwww-perl)实施默认禁用的证书及主机名验证。这样就可让用户使用
LWP::UserAgent Perl 模块验证 HTTP 服务器身份。要启用该验证,请确定已安装 IO::Socket::SSL Perl 模块,并将 PERL_LWP_SSL_VERIFY_HOSTNAME 环境变量设定为 1,以便将该应用程序修改为可以正确设定 ssl_opts 选项。详情请查看 LWP::UserAgent POD。
Perl Net:SSLeay 现在支持椭圆曲线参数
在 Perl
Net:SSLeay 模块中添加椭圆曲线参数支持,其中包括与 OpenSSL 库的绑定。即,已将 EC_KEY_new_by_curve_name()、EC_KEY_free*()、SSL_CTX_set_tmp_ecdh() 和 OBJ_txt2nid() 子例程从 upstream 中移植出来。这需要支持 IO::Socket::SSL Perl 模块中的椭圆曲线 Diffie-Hellman 交换(ECDHE)密钥交换。
Perl IO::Socket::SSL 现在支持 ECDHE
在
IO::Socket::SSL Perl 模块中添加椭圆曲线 Diffie–Hellman 交换(ECDHE)支持。这个新的 SSL_ecdh_curve 选项可用来根据对象识别符(OID)或名称识别符(NID)指定适合的曲线。因此,现在可以在使用 IO::Socket:SSL 实施 TLS 客户端时覆盖默认的椭圆曲线参数。
openscap 复位至版本 1.2.8
OpenSCAP 是一组库集合,提供整合 SCAP 标准的路径,现已复位至版本 1.2.8,即最新的 upstream 版本。最值得关注的改进包括支持 OVAL-5.11 和 OVAL-5.11.1 语言版本,引进详细模式(可帮助您理解所运行扫描的详情),两个新命令(
oscap-ssh 和 oscap-vm,各自用来扫描 SSH 及不活跃虚拟系统),内置 bz2 归档支持,以及用户 HTML 报告及指导的新接口。
scap-workbench 复位至版本 1.1.1
已将 scap-workbench 复位至版本 1.1.1,该版本可提供新的 SCAP 安全性指南整合对话,帮助管理员选择需要扫描的产品而不是选择内容文件。这个新版本还提供大量性能及用户体验改进,其中包括改进在寻址窗口中的规则搜索,以及使用 GUI 提取 SCAP 内容中的远程资源。
scap-security-guide 复位至版本 0.1.28
将 scap-security-guide 软件包复位至最新版本(0.1.28),该版本提供大量重要修复及改进,其中包括几个用于 Red Hat Enterprise Linux 6 和 7 改进的或全新的配置文件,添加了用于很多规则的自动检查及修补脚本,在发行本之间保持一致的可读 OVAL ID,或为每个配置文件附带 HTML 格式的指南。
在 luci 中禁用 SSLv3 和 RC4 支持
默认在
luci 这个基于网页的高可用性管理应用程序中禁用不安全的 SSLv3 协议和 RC4 算法。可以重新启用 SSlv3,但这仅适用于无法预测的情况,且使用时应格外小心。
