Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第 14 章 安全性

SCAP Security Guide

在 Red Hat Enterprise Linux 7.1 中添加了 scap-security-guide 软件包,提供安全指导、基线及相关验证机制。该指南由安全内容自动化协议SCAP)指定,该协议由一组可实践硬性建议组成。SCAP Security Guide 控制根据所述安全策略要求执行安全合规扫描的必要数据,其中包括写入描述及自动测试(探测)。通过自动测试,SCAP Security Guide 可提供常规确定系统合规性的便利及可靠的方法。
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

SELinux 策略

在 Red Hat Enterprise Linux 7.1 中修改了 SELinux 策略,之前在 init_t 域中不使用 SELinux 策略的服务现在是在新添加的 unconfined_service_t 域中运行。详情请查看 Red Hat Enterprise Linux 7.1 《SELinux 用户及管理员指南》《自由进程》一章。

OpenSSH 中的新功能

已将 OpenSSH 工具组更新至版本 6.6.1p1,其中添加了几个与加密有关的新功能:
  • 现在支持使用 Daniel Bernstein Curve25519 中的椭圆曲线 Diffie-Hellman 交换密钥。现在默认在支持此方法的服务器和客户端中提供这个方法。
  • 添加对使用 Ed25519 椭圆曲线签名方案作为公钥类型的支持,该方案可用于用户和主机密钥,提供比 ECDSADSA 更好的安全性及良好性能。
  • 添加了使用 bcrypt 密钥衍生功能(KDF)的新私钥格式。默认在 Ed25519 密钥中使用此格式,但其他密钥类型也可能要求使用这个格式。
  • 添加了新的传输密码 chacha20-poly1305@openssh.com。它由 Daniel Bernstein 的 ChaCha20 流密码及 Poly1305 信息认证代码(MAC)组成。

Libreswan 的新功能

IPsec VPNLibreswan 实施已更新至版本 3.12,该更新添加了几个新功能和改进:
  • 添加新密码。
  • IKEv2 support has been improved.
  • IKEv1IKEv2 中添加了中间证书链支持。
  • 改进连接处理。
  • 改进与 OpenBSD、Cisco 和 Android 系统的互操作性。
  • 改进了 systemd 支持。
  • 添加了散列 CERTREQ 和流量统计支持。

TNC 中的新功能

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • 通过使用新的 TPMRA 工作项改进认证 IMV 支持。
  • 为使用 SWID IMV 基于 JSON 的 REST API 添加支持。
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • 修复了现有 IF-TNCCSPB-TNCIF-MPA-TNC)协议及 OS IMC/IMV 对中的几个 bug。

GNuTLS 的新功能

SSLTLSDTLS 协议中的 GnuTLS 实施更新至版本 3.3.8,提供大量新功能和改进:
  • 添加 DTLS 1.2 支持。
  • 添加 应用程序层协议谈判ALPN)支持。
  • 改进椭圆曲线密码套件性能。
  • 添加了新密码套件 RSA-PSKCAMELLIA-GCM
  • 添加了内置 可信平台模块TPM)标准支持。
  • 以多种方式改进了对 PKCS#11 智能卡和硬件安全模块HSM)的支持。
  • 以多种方式改进了对FIPS 140安全标准(联邦信息处理标准)的遵循。