第 12 章 安全性

由于有 Logjam 安全性漏洞，gss-group1-sha1-* 密钥交换方法不再安全。虽然有可能禁用这个密钥交换方法作为正常密钥交换，但不可能禁止其作为 GSSAPI 密钥交换方法。使用这个更新，管理员可选择性禁用的这个算法或 GSSAPI 密钥交换使用其他算法。

之前，Red Hat Gluster Storage（RHGS）组件缺少 SELinux 策略，且 Gluster 只能在将 SELinux 设定为 permissive 模式时正确使用。使用这个更新，为 glusterd（glusterFS 管理服务）、glusterfsd（NFS 服务器）、smbd、nfsd、rpcd 和 ctdbd 进程更新了SELinux 策略规则，以便为 Gluster 提供 SELinux 支持。

已将 openscap 软件包升级至上游版本 1.2.5，该版本提供大量上一个版本的程序错误修复和增强。

值得关注的增强包括：

* 支持 OVAL 版本 5.11，该版本提供多种改进，比如 systemd 属性。

* 引进 xml.bz2 输入文件的本机支持。

* 引进 oscap-ssh 工具以访问远程系统。

* 引进 oscap-docker 工具以访问容器/映象。

将 scap-security-guide 工具升级至上游版本 0.1.25，该版本提供上一个版本的大量程序错误修复和增强。

值得关注的增强包括：

* Red Hat Enterprise Linux 7 服务器的新安全配置文件：一般系统的通用配置文件、PCI-DSS v3 控制基线草稿、标准系统安全配置文件及 Red Hat Enterprise Linux 7 Server 的草稿 STIG。

* Red Hat Enterprise Linux 6 和 7 中运行的 Firefox 和 Java 运行时环境（JRE）组件的新安全基准。

* 新 scap-security-guide-doc 子软件包，该软件包中包含 HTML 格式文档，文档中包含使用 XCCDF 基准生成的安全指南（Red Hat Enterprise Linux 6 和 7、Firefox 和 JRE 安全基准中附带的每个安全配置文件）。