第 12 章 安全性

现在可以选择禁用 GSSAPI 密钥交换算法

由于有 Logjam 安全性漏洞,gss-group1-sha1-* 密钥交换方法不再安全。虽然有可能禁用这个密钥交换方法作为正常密钥交换,但不可能禁止其作为 GSSAPI 密钥交换方法。使用这个更新,管理员可选择性禁用的这个算法或 GSSAPI 密钥交换使用其他算法。

为 Red Hat Gluster Storage 添加了 SELinux 策略

之前,Red Hat Gluster Storage(RHGS)组件缺少 SELinux 策略,且 Gluster 只能在将 SELinux 设定为 permissive 模式时正确使用。使用这个更新,为 glusterd(glusterFS 管理服务)、glusterfsd(NFS 服务器)、smbdnfsdrpcdctdbd 进程更新了SELinux 策略规则,以便为 Gluster 提供 SELinux 支持。

openscap 恢复至版本 1.2.5

已将 openscap 软件包升级至上游版本 1.2.5,该版本提供大量上一个版本的程序错误修复和增强。
值得关注的增强包括:
* 支持 OVAL 版本 5.11,该版本提供多种改进,比如 systemd 属性。
* 引进 xml.bz2 输入文件的本机支持。
* 引进 oscap-ssh 工具以访问远程系统。
* 引进 oscap-docker 工具以访问容器/映象。

scap-security-guide 恢复至版本 0.1.25。

scap-security-guide 工具升级至上游版本 0.1.25,该版本提供上一个版本的大量程序错误修复和增强。
值得关注的增强包括:
* Red Hat Enterprise Linux 7 服务器的新安全配置文件:一般系统的通用配置文件、PCI-DSS v3 控制基线草稿、标准系统安全配置文件及 Red Hat Enterprise Linux 7 Server 的草稿 STIG。
* Red Hat Enterprise Linux 6 和 7 中运行的 Firefox 和 Java 运行时环境(JRE)组件的新安全基准。
* 新 scap-security-guide-doc 子软件包,该软件包中包含 HTML 格式文档,文档中包含使用 XCCDF 基准生成的安全指南(Red Hat Enterprise Linux 6 和 7、Firefox 和 JRE 安全基准中附带的每个安全配置文件)。