Show Table of Contents
PHP
Perl
Perl
第 11 章 安全性
TLS 1.2 支持添加到基本系统组件
使用这些更新将基本系统工具(比如
Yum、stunnel、vsftp、Git 或者 Postfix)修改为支持 TLS 协议版本 1.2。这样可保证那些工具不会受该协议旧版本中安全漏洞的影响。
NSS 现在默认使用 TLS 1.2 协议
为满足当前最佳安全实践,NSS 默认启用 TLS 1.2 协议。这意味着不再需要特别说明。
pycurl 现在提供要求使用 TLSv1.1 或 1.2 的选项
使用这个更新加强
pycurl 以支持可用来要求使用 TLS 协议版本 1.1 或 1.2 的选项,这样可改进通讯安全。
PHP cURL 模块现在支持 TLS 1.1 和 TLS 1.2
支持 TLS 协议版本 1.1 和 1.2,这两个版本之前由
curl 库提供,现已将其添加到 PHP cURL 扩展。
openswan 弃用而使用 libreswan
已启用 openswan 软件包,并引进 libreswan 软件包直接替换 openswan。libreswan 是用于 Red Hat Enterprise Linux 6 的更稳定和安全的 VPN 解决方案。libreswan 已作为 Red Hat Enterprise Linux 7 的 VPN 解决方案使用。在系统升级过程中会使用 libreswan 替换 openswan。
注:存储库中仍保留了 openswan 软件包。要安装 openswan 而不是 libreswan,请使用
yum 的 -x 选项排除 _openswan_: yum install openswan -x libreswan。
为 GlusterFS 添加 SELinux 支持
这个更新为作为 Red Hat Gluster Storage 一部分的 glusterd(GlusterFS 管理服务)及 glusterfsd(NFS 服务器)提供 SELinux 强制访问控制。
shadow-utils 复位至版本 4.1.5.1
shadow-utils 软件包为管理用户和组帐户提供程序,现已将其复位至版本 4.1.5.1。这与 Red Hat Enterprise Linux 7 中的 shadow-utils 是一个版本。改进包括改善审核,将其改为在用户帐户数据库中提供更好的系统管理员操作记录。添加到这个软件包的主要新功能是支持使用各自工具的
--root 选项在 chroot 环境中的操作。
audit 复位至版本 2.4.5
audit 软件包为保存和搜索由 Linux 内核中的
audit 生成的审核记录提供用户空间程序,现已将其复位至版本 2.4.5。这个更新包括加强的事件解析工具,该工具提供更多系统调用名称及参数,以便您理解事件。
这个更新还在
auditd 记录事件的方式上有重要行为变化。如果要在 auditd.conf 中使用 data 或者 sync 模式进行 flush 设置,则会看到 auditd 记录事件的能力有所下降。这是因为之前没有正确通知内核应使用完全同步写入。这样做是正确的,可提高操作的可靠性,但会消耗大量性能。如果不能忍受性能下降,则应将 flush 设置改为 incremental,同时 freq 设置将控制 auditd 指导内核在磁盘中同步所有记录的频率。将 freq 设定为 100 应该可以保证良好性能,同时确定可周期性将新纪录刷新到磁盘中。
LWP 现在支持主机名及证书验证
已在万维网站为 Perl(LWP,也称 libwww-perl)实施默认禁用的证书及主机名验证。这样就可让用户使用
LWP::UserAgent Perl 模块验证 HTTP 服务器身份。要启用该验证,请确定已安装 IO::Socket::SSL Perl 模块,并将 PERL_LWP_SSL_VERIFY_HOSTNAME 环境变量设定为 1,以便将该应用程序修改为可以正确设定 ssl_opts 选项。详情请查看 LWP::UserAgent POD。
Perl Net:SSLeay 现在支持椭圆曲线参数
在 Perl
Net:SSLeay 模块中添加椭圆曲线参数支持,其中包括与 OpenSSL 库的绑定。即,已将 EC_KEY_new_by_curve_name()、EC_KEY_free*()、SSL_CTX_set_tmp_ecdh() 和 OBJ_txt2nid() 子例程从 upstream 中移植出来。这需要支持 IO::Socket::SSL Perl 模块中的椭圆曲线 Diffie-Hellman 交换(ECDHE)密钥交换。
Perl IO::Socket::SSL 现在支持 ECDHE
在
IO::Socket::SSL Perl 模块中添加椭圆曲线 Diffie–Hellman 交换(ECDHE)支持。这个新的 SSL_ecdh_curve 选项可用来根据对象识别符(OID)或名称识别符(NID)指定适合的曲线。因此,现在可以在使用 IO::Socket:SSL 实施 TLS 客户端时覆盖默认的椭圆曲线参数。
openscap 复位至版本 1.2.8
OpenSCAP 是一组库集合,提供整合 SCAP 标准的路径,现已复位至版本 1.2.8,即最新的 upstream 版本。最值得关注的改进包括支持 OVAL-5.11 和 OVAL-5.11.1 语言版本,引进详细模式(可帮助您理解所运行扫描的详情),两个新命令(
oscap-ssh 和 oscap-vm,各自用来扫描 SSH 及不活跃虚拟系统),内置 bz2 归档支持,以及用户 HTML 报告及指导的新接口。
scap-workbench 复位至版本 1.1.1
已将 scap-workbench 复位至版本 1.1.1,该版本可提供新的 SCAP 安全性指南整合对话,帮助管理员选择需要扫描的产品而不是选择内容文件。这个新版本还提供大量性能及用户体验改进,其中包括改进在寻址窗口中的规则搜索,以及使用 GUI 提取 SCAP 内容中的远程资源。
scap-security-guide 复位至版本 0.1.28
将 scap-security-guide 软件包复位至最新版本(0.1.28),该版本提供大量重要修复及改进,其中包括几个用于 Red Hat Enterprise Linux 6 和 7 改进的或全新的配置文件,添加了用于很多规则的自动检查及修补脚本,在发行本之间保持一致的可读 OVAL ID,或为每个配置文件附带 HTML 格式的指南。
在 luci 中禁用 SSLv3 和 RC4 支持
默认在
luci 这个基于网页的高可用性管理应用程序中禁用不安全的 SSLv3 协议和 RC4 算法。可以重新启用 SSlv3,但这仅适用于无法预测的情况,且使用时应格外小心。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.