6.5. 安全性

递归依赖关系不再导致 OpenSCAP 崩溃

由于 systemd 单元可能具有依赖的单元,因此 OpenSCAP 扫描可能会遇到导致扫描意外终止的松散依赖关系。在这个版本中,OpenSCAP 不再分析之前处理过的单元。现在,即使依赖关系较低,也会使用有效结果扫描完成。

(BZ#1478285)

OpenSCAP 扫描程序结果不再包含很多 SELinux 上下文错误消息

在以前的版本中,OpenSCAP 扫描程序记录了无法在 ERROR 级别获得 SELinux 上下文,即使它不是真正的错误。因此,扫描器结果包含大量 SELinux 上下文错误消息,以及 Theoscap 命令行实用程序和 SCAP Workbench 图形实用程序输出都很难被读取。已修复 openscap 软件包,扫描程序结果不再包含大量 SELinux 上下文错误消息。

(BZ#1640522)

audit_rules_privileged_commands 现在可以在特权命令中正常工作

解决 scap-security-guide 软件包中的 audit_rules_privileged_commands 规则在解析命令名称时没有考虑特殊的情况。另外,某些规则的顺序可能会阻止成功进行补救。因此,修复某些规则组合报告它们已被修复,但连续扫描会再次报告规则失败。这个版本改进了规则和规则顺序中的正则表达式。因此,在修复后,所有特权命令都会正确修正。

(BZ#1691877)

更新了 SCAP 安全指南中的规则描述

因为无法针对所有支持的 RHEL 版本可靠确定默认内核参数,所以检查内核参数设置始终需要显式配置。在配置指南中,存在一个错误信息,它错误地声明在默认版本兼容时不需要显式设置。在这个版本中,scap-security-guide 软件包中的规则描述正确描述了合规性评估以及相应的补救。

(BZ#1494606)

configure_firewalld_rate_limiting 现在正确速率限制连接

configure_firewalld_rate_limiting 规则用于防止系统遭受服务 Denial of Service(DoS)攻击,之前将系统配置为接受所有流量。在这个版本中,在修复此规则后,系统可以正确地进行速率限制连接。

(BZ#1609014)

dconf_gnome_login_banner_text 不再错误地失败

修复之前扫描失败后 scap-security-guide 软件包中的 dconf_gnome_login_banner_text 规则。因此,补救无法正确更新登录标题配置,这与预期结果不一致。在这个版本中,Bash 和 Ansible 修复更为可靠,并且与采用 OVAL 标准实施的配置检查一致。因此,补救现在可以正常工作,规则会在补救后正常通过。

(BZ#1776780)

scap-security-guide Ansible 补救不再包含 以下参数

在此更新之前,scap-security-guide Ansible 补救可以在 replace 模块中包含 follow 参数。由于 Ansible 2.5 中已弃用,因此使用此类补救时将删除 Ansible 2.10 中,因此请使用这样的补救会导致错误。随着 RHBA-2021:1383 公告的发布,该参数已被删除。因此,scap-security-guide 的 Ansible playbook 可以在 Ansible 2.10 中正常工作。

(BZ#1890111)

如果没有安装 postfix,则特定于 Postfix 的规则不再失败

在以前的版本中,SCAP 安全指南(SSG)独立于系统中安装的 postfix 软件包评估了特定于 Postfix 的规则。因此,SSG 报告特定于 Postfix 的规则 失败,而不是 不可应用。随着 RHBA-2021:4781 公告的发布,SSG 仅在安装 postfix 软件包时正确评估 Postfix 特定的规则,如果 未安装 postfix 软件包,则报告不可用。

(BZ#1942281)

服务禁用规则不再模糊

在以前的版本中,SCAP 安全指南中的 Service Disabled 类型的规则描述提供了禁用和屏蔽服务的选项,但没有指定用户是否应该禁用该服务,或将其屏蔽。

随着 RHBA-2021:1383 公告的发布,规则描述、补救和 OVAL 检查已一致,并告知用户必须屏蔽服务才能禁用它。

(BZ#1891435)

修复了 scap-security-guide GNOME dconf 规则的 Ansible 补救

在以前的版本中,Ansible 修复一些涵盖 GNOME dconf 配置系统的规则与对应的 OVAL 检查不一致。因此,Ansible 会错误地修复以下规则,在后续扫描中将其标记为 失败

  • dconf_gnome_screensaver_idle_activation_enabled
  • dconf_gnome_screensaver_idle_delay
  • dconf_gnome_disable_automount_open

随着 RHBA-2021:4781 公告中发布的更新,Ansible 正则表达式已被修复。因此,这些规则会在 dconf 配置中正确修复。

(BZ#1976123)

SELinux 不再阻止 PCP 重启无响应的 PMDA

在以前的版本中,SELinux 策略中没有允许 pcp_pmie_t 进程与 Performance Metric Domain Agent(PMDA)通信的规则。因此,SELinux 拒绝了 pmsignal 进程来重启无响应的 PMDA。在这个版本中,缺少的规则已添加到策略中,Performance Co-Pilot(PCP)现在可以重启无响应的 PMDA。

(BZ#1770123)

SELinux 不再阻止 auditd 停止或者关闭系统

在以前的版本中,SELinux 策略不包含允许 Audit 守护进程启动 power_unit_file_t systemd 单元的规则。因此,在日志磁盘分区没有剩余空间的情况下,auditd 也无法停止或关闭系统。

在这个版本中,缺少的规则被添加到 SELinux 策略中。现在,auditd 可以停止或关闭系统。

(BZ#1780332)

chronyd 服务现在可以在 SELinux 中执行 shell

在以前的版本中,在 chronyd _t 下运行的 chronyd 进程无法执行 chrony-helper shell 脚本,因为 SELinux 策略不允许 chronyd 执行任何 shell。在这个版本中,SELinux 策略允许 chronyd 进程运行标记为 shell _exec_t 的 shell。因此,chronyd 服务 在 Multi-Level Security(MLS)策略下成功启动。

(BZ#1775573)

Tang 可靠地更新其缓存

当 Tang 应用程序生成其密钥时(例如在第一次安装时)Tang 会更新它的缓存。在以前的版本中,这个过程不可靠,应用程序缓存无法正确更新来反映 Tang 密钥。这会导致在 Clevis 中使用 Tang pin 时出现问题,客户端显示错误消息 Key creationation key not available。在这个版本中,密钥生成和缓存更新逻辑被移到 Tang,删除文件监视依赖关系。因此,应用程序缓存在缓存更新后会处于正确的状态。

(BZ#1703445)