Show Table of Contents
第 14 章 安全性
SCAP Security Guide
在 Red Hat Enterprise Linux 7.1 中添加了 scap-security-guide 软件包,提供安全指导、基线及相关验证机制。该指南由安全内容自动化协议(SCAP)指定,该协议由一组可实践硬性建议组成。SCAP Security Guide 控制根据所述安全策略要求执行安全合规扫描的必要数据,其中包括写入描述及自动测试(探测)。通过自动测试,SCAP Security Guide 可提供常规确定系统合规性的便利及可靠的方法。
SCAP Security Guide 的 Red Hat Enterprise Linux 7.1 版本包括为认证云供应商提供的 Red Hat 公司简介(RH CCP),可用于对 Red Hat Enterprise Linux 7.1 云系统进行合规扫描。
另外,Red Hat Enterprise Linux 7.1 scap-security-guide 软件包包括用于 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的 SCAP 数据流内容格式文件,以便为这两个产品进行远程合规扫描。
Red Hat Enterprise Linux 7.1 系统管理员可以使用 openscap-scanner 软件包提供的
oscap 命令行工具确认该系统符合所提供的指导。有关详情请查看 scap-security-guide(8) manual page。
SELinux 策略
在 Red Hat Enterprise Linux 7.1 中修改了 SELinux 策略,之前在
init_t 域中不使用 SELinux 策略的服务现在是在新添加的 unconfined_service_t 域中运行。详情请查看 Red Hat Enterprise Linux 7.1 《SELinux 用户及管理员指南》中《自由进程》一章。
OpenSSH 中的新功能
已将 OpenSSH 工具组更新至版本 6.6.1p1,其中添加了几个与加密有关的新功能:
- 现在支持使用 Daniel Bernstein
Curve25519中的椭圆曲线Diffie-Hellman交换密钥。现在默认在支持此方法的服务器和客户端中提供这个方法。 - 添加对使用
Ed25519椭圆曲线签名方案作为公钥类型的支持,该方案可用于用户和主机密钥,提供比ECDSA和DSA更好的安全性及良好性能。 - 添加了使用
bcrypt密钥衍生功能(KDF)的新私钥格式。默认在Ed25519密钥中使用此格式,但其他密钥类型也可能要求使用这个格式。 - 添加了新的传输密码
chacha20-poly1305@openssh.com。它由 Daniel Bernstein 的ChaCha20流密码及Poly1305信息认证代码(MAC)组成。
Libreswan 的新功能
IPsec VPN 的 Libreswan 实施已更新至版本 3.12,该更新添加了几个新功能和改进:
- 添加新密码。
- 改进了
IKEv2支持。 - 在
IKEv1和IKEv2中添加了中间证书链支持。 - 改进连接处理。
- 改进与 OpenBSD、Cisco 和 Android 系统的互操作性。
- 改进了 systemd 支持。
- 添加了散列
CERTREQ和流量统计支持。
TNC 中的新功能
更新 strongimcv 软件包提供的可信网了连接(TNC)架构,现在可以通过 strongSwan 5.2.0 使用该架构。在 TNC 中添加了以下新功能:
- 添加了用于可信网络连接的
PT-EAP传输协议(RFC 7171)。 - 证明完整性度量收集器(IMC) / 完整性度量验证器(IMV) 数据对现在支持 IMA-NG 度量格式。
- 通过使用新的 TPMRA 工作项改进证明 IMV 支持。
- 支持使用 SWID IMV 基于 JSON 的 REST API。
- SWID IMC 可以使用 swidGenerator 从 dpkg、rpm 或者 pacman 软件包管理器中提取所有安装的软件包,并根据新的 ISO/IEC 19770-2:2014 标准生成 SWID 标签。
- AEAD 模式支持将延伸至
EAP-(T)TLS及其他协议使用的libtlsTLS 1.2实施,目前仅限于AES-GCM。 - 改进使用通用
imv_session对象的访问请求者的共享访问者 ID、设备 ID 及产品信息的 IMV 支持。 - 修复了现有
IF-TNCCS(PB-TNC、IF-M、PA-TNC)协议及OS IMC/IMV对中的几个 bug。
GNuTLS 的新功能
将
SSL、TLS 和 DTLS 协议中的 GnuTLS 实施更新至版本 3.3.8,提供大量新功能和改进:
- 添加
DTLS 1.2支持。 - 添加 应用程序层协议谈判(ALPN)支持。
- 改进椭圆曲线密码套件性能。
- 添加了新密码套件
RSA-PSK和CAMELLIA-GCM。 - 添加了内置 可信平台模块(TPM)标准支持。
- 以多种方式改进了对
PKCS#11智能卡和硬件安全模块(HSM)的支持。 - 以多种方式改进了对FIPS 140安全标准(联邦信息处理标准)的遵循。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.