第 14 章 安全性

SCAP Security Guide

在 Red Hat Enterprise Linux 7.1 中添加了 scap-security-guide 软件包,提供安全指导、基线及相关验证机制。该指南由安全内容自动化协议SCAP)指定,该协议由一组可实践硬性建议组成。SCAP Security Guide 控制根据所述安全策略要求执行安全合规扫描的必要数据,其中包括写入描述及自动测试(探测)。通过自动测试,SCAP Security Guide 可提供常规确定系统合规性的便利及可靠的方法。
SCAP Security Guide 的 Red Hat Enterprise Linux 7.1 版本包括为认证云供应商提供的 Red Hat 公司简介(RH CCP,可用于对 Red Hat Enterprise Linux 7.1 云系统进行合规扫描。
另外,Red Hat Enterprise Linux 7.1 scap-security-guide 软件包包括用于 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的 SCAP 数据流内容格式文件,以便为这两个产品进行远程合规扫描。
Red Hat Enterprise Linux 7.1 系统管理员可以使用 openscap-scanner 软件包提供的 oscap 命令行工具确认该系统符合所提供的指导。有关详情请查看 scap-security-guide(8) manual page。

SELinux 策略

在 Red Hat Enterprise Linux 7.1 中修改了 SELinux 策略,之前在 init_t 域中不使用 SELinux 策略的服务现在是在新添加的 unconfined_service_t 域中运行。详情请查看 Red Hat Enterprise Linux 7.1 《SELinux 用户及管理员指南》《自由进程》一章。

OpenSSH 中的新功能

已将 OpenSSH 工具组更新至版本 6.6.1p1,其中添加了几个与加密有关的新功能:
  • 现在支持使用 Daniel Bernstein Curve25519 中的椭圆曲线 Diffie-Hellman 交换密钥。现在默认在支持此方法的服务器和客户端中提供这个方法。
  • 添加对使用 Ed25519 椭圆曲线签名方案作为公钥类型的支持,该方案可用于用户和主机密钥,提供比 ECDSADSA 更好的安全性及良好性能。
  • 添加了使用 bcrypt 密钥衍生功能(KDF)的新私钥格式。默认在 Ed25519 密钥中使用此格式,但其他密钥类型也可能要求使用这个格式。
  • 添加了新的传输密码 chacha20-poly1305@openssh.com。它由 Daniel Bernstein 的 ChaCha20 流密码及 Poly1305 信息认证代码(MAC)组成。

Libreswan 的新功能

IPsec VPNLibreswan 实施已更新至版本 3.12,该更新添加了几个新功能和改进:
  • 添加新密码。
  • 改进了 IKEv2 支持。
  • IKEv1IKEv2 中添加了中间证书链支持。
  • 改进连接处理。
  • 改进与 OpenBSD、Cisco 和 Android 系统的互操作性。
  • 改进了 systemd 支持。
  • 添加了散列 CERTREQ 和流量统计支持。

TNC 中的新功能

更新 strongimcv 软件包提供的可信网了连接(TNC)架构,现在可以通过 strongSwan 5.2.0 使用该架构。在 TNC 中添加了以下新功能:
  • 添加了用于可信网络连接的 PT-EAP 传输协议(RFC 7171)。
  • 证明完整性度量收集器(IMC/ 完整性度量验证器(IMV 数据对现在支持 IMA-NG 度量格式。
  • 通过使用新的 TPMRA 工作项改进证明 IMV 支持。
  • 支持使用 SWID IMV 基于 JSON 的 REST API。
  • SWID IMC 可以使用 swidGeneratordpkgrpm 或者 pacman 软件包管理器中提取所有安装的软件包,并根据新的 ISO/IEC 19770-2:2014 标准生成 SWID 标签。
  • AEAD 模式支持将延伸至 EAP-(T)TLS 及其他协议使用的 libtls TLS 1.2 实施,目前仅限于 AES-GCM
  • 改进使用通用 imv_session 对象的访问请求者的共享访问者 ID、设备 ID 及产品信息的 IMV 支持。
  • 修复了现有 IF-TNCCSPB-TNCIF-MPA-TNC)协议及 OS IMC/IMV 对中的几个 bug。

GNuTLS 的新功能

SSLTLSDTLS 协议中的 GnuTLS 实施更新至版本 3.3.8,提供大量新功能和改进:
  • 添加 DTLS 1.2 支持。
  • 添加 应用程序层协议谈判ALPN)支持。
  • 改进椭圆曲线密码套件性能。
  • 添加了新密码套件 RSA-PSKCAMELLIA-GCM
  • 添加了内置 可信平台模块TPM)标准支持。
  • 以多种方式改进了对 PKCS#11 智能卡和硬件安全模块HSM)的支持。
  • 以多种方式改进了对FIPS 140安全标准(联邦信息处理标准)的遵循。