第 12 章 安全性

在 Logjam 安全漏洞的视图中，gs -group1-sha1 the key-exchange 方法不再被视为安全。虽然可以将这个 key-exchange 方法作为普通密钥交换禁用，但无法将其作为 GSSAPI 密钥交换禁用。在这个版本中，管理员可以选择性地禁用 GSSAPI 密钥交换使用的这种算法。

在以前的版本中，Red Hat Gluster Storage (RHGS)组件的 SELinux 策略缺少，只有在 SELinux 处于 permissive 模式时 Gluster 才能正常工作。有了这个更新，QFS Management Service 的 SELinux 策略规则 (glusterFS Management Service)、glusterfsd (NFS sever)、smbd、nfsd、rpcd、一个dn ctdbd 进程已更新，为 Gluster 提供 SELinux 支持。

openscap 软件包已升级到上游版本 1.2.5，它提供很多程序错误修复和增强。

主要改进包括：

对 OVAL 版本 5.11 的支持，它引入了多个改进，如 systemd 属性

xml.bz2 输入文件的原生支持

Ice 引入了用于评估远程系统的 oscap-ssh 工具

Dan 引入了用于评估容器/镜像的 oscap-docker 工具

scap-security-guide 工具升级至上游版本 0.1.25，它提供很多程序错误修复和增强。

主要改进包括：

Red Hat Enterprise Linux 7 服务器的新安全配置文件： General-Purpose Systems、Draft PCI-DSS v3 Control Baseline、Standard System Security Profile 和 Draft STIG for Red Hat Enterprise Linux 7 Server。

在 Red Hat Enterprise Linux 6 和 7 上运行的 Firefox 和 Java 运行时环境(JRE)组件的新安全基准。

slirp 新的 scap-security-guide-doc 子软件包，其中包含来自 XCCDF 基准生成的安全指南的 HTML 格式文档（用于 Red Hat Enterprise Linux 6 和 7、Firefox 和 JRE）的安全基准中提供的每个安全配置文件。