第 16 章 安全性

OpenSSH chroot Shell 登录

通常每个 Linux 用户都会根据 SELinux 策略与一个 SELinux 用户对应,这样可让 Linux 用户继承 SELinux 用户中采用的限制。有一个默认映射可将 Linux 用户与 SELinux unconfined_u 用户对应。
在 Red Hat Enterprise Linux 7 中,用来 chroot 用户的 ChrootDirectory 选项可与未限制的用户一同使用而无需任何更改,但对已受限制的用户,比如 staff_u, user_u 或者 guest_u,则必须设置 SELinux selinuxuser_use_ssh_chroot 变量。建议管理员在使用 ChrootDirectory 选项获得更高的安全性时为所有使用 chroot 的用户使用 guest_u 用户。

多个要求的认证

Red Hat Enterprise Linux 7.0 使用 AuthenticationMethods 支持多个在 SSH 协议版本 2 中需要的认证。这个选项列出一个或者多个逗号分开的认证方法名称列表。成功完成所有列表中的所有方法以便完成认证。这样可在为用户提供密码认证前有权利使用公钥或者 GSSAPI。

GSS Proxy

GSS Proxy 是代表其他应用程序建立 GSS API Kerberos 上下文的系统服务。这个服务可使安全性受益,例如:当访问由不同进程共享的系统密钥表时,对该进程的成功攻击可导致 Kerberos 扮演所有其他进程。

NSS 中的变化

已将 nss 软件包升级为 upstream 版本 3.15.2。在线证书状态协议(OCSP)不再接受信息摘要算法 2(MD2)、MD4 和 MD5 签名,而采用其处理常规证书签名的算法。
在与 TLS 1.2 协商时添加了高级加密标准 Galois 计时器模式(AES-GCM)密码组(RFC 5288 和 RFC 5289)。特别是支持以下密码组:
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP 工作台

SCAP 工作台是一个 GUI 前端,可为 SCAP 内容提供扫描功能。SCAP 工作台在 Red Hat Enterprise Linux 7.0 是作为技术预览提供。
您可以在 upstream 项目中查找详细信息:
https://fedorahosted.org/scap-workbench/

OSCAP Anaconda 附加组件

Red Hat Enterprise Linux 7.0 中包括 OSCAP Anaconda 附加组件作为技术预览。该附加组件在安装过程中整合了 OpenSCAP 程序,并让系统按照 SCAP 内容给出的限制进行安装。