4.14. 安全 (机器翻译版本)

SCAP安全指南PCI-DSS配置文件与版本3.2.1一致

SCAP Security Guide 该项目为Red Hat Enterprise Linux 8提供了PCI-DSS(支付卡行业数据安全标准)配置文件,并且已经更新以符合最新的PCI-DSS版本 - 3.2.1。

(BZ#1618528)

OpenSSH的 重新定义为7.8p1版本

openssh 软件包已升级到上游版本7.8p1。值得注意的变化包括:

  • 删除了支持 SSH version 1 协议。
  • 删除了支持 hmac-ripemd160 消息验证码。
  • 删除了对RC4的支持(arcfour)密码。
  • 删除了支持 Blowfish 密码。
  • 删除了支持 CAST 密码。
  • 更改了默认值 UseDNS 选项 no
  • DSA 公钥算法默认情况下。
  • 更改了最小模数大小 Diffie-Hellman 参数为2048位。
  • 改变了语义 ExposeAuthInfo 配置选项。
  • UsePrivilegeSeparation=sandbox 选项现在是强制性的,无法禁用。
  • 设置接受的最小值 RSA 密钥大小为1024位。

(BZ#1622511)

现在支持RSA-PSS OpenSC

此更新增加了对RSA-PSS加密签名方案的支持 OpenSC 智能卡驱动程序。新方案支持客户端软件中TLS 1.3支持所需的安全加密算法。

(BZ#1595626)

值得注意的变化 rsyslog 在RHEL 8中

rsyslog 软件包已升级到上游版本8.37.0,它提供了许多错误修复和增强功能。最值得注意的变化包括:

  • 增强处理 rsyslog现在 内部消息;限制它们的可能性;修复了可能的死锁。
  • 一般来说,增强了速率限制;实际上 垃圾邮件源 现在已记录。
  • 改进了对超大消息的处理 - 用户现在可以设置如何在核心和某些模块中使用单独的操作来处理它们。
  • mmnormalize 规则库现在可以嵌入到 config 文件而不是为它们创建单独的文件。
  • 用户现在可以设置 的GnuTLS 优先级字符串 imtcp 允许对加密进行细粒度控制。
  • 所有 config 变量(包括JSON中的变量)现在不区分大小写。
  • PostgreSQL输出的各种改进。
  • 添加了使用shell变量来控制的可能性 config 处理,例如条件加载其他配置文件,执行语句或包含文本 config。请注意,过度使用此功能会使调试问题变得非常困难 rsyslog现在
  • 现在可以在中指定4位文件创建模式 config
  • 可靠的事件记录协议(RELP)输入现在也只能绑定在指定的地址上。
  • 默认值 enable.body 邮件输出选项现在与文档对齐
  • 用户现在可以指定应该忽略的插入错误代码 MongoDB的 输出。
  • 并行TCP(pTCP)输入现在具有可配置的积压,以实现更好的负载平衡。

(BZ#1613880)

rsyslog现在 模块: omkafka

启用 卡夫卡 集中式数据存储方案,您现在可以将日志转发到 卡夫卡 使用新的基础设施 omkafka 模块。

(BZ#1542497)

libssh 将SSH实现为核心加密组件

这个改变介绍了 libssh 作为Red Hat Enterprise Linux 8中的核心加密组件。该 libssh library实现了Secure SHell(SSH)协议。

注意 libssh 不符合系统范围的加密策略。

(BZ#1485241)

PKCS#11对智能卡和HSM的支持现在在整个系统中保持一致

通过此更新,使用智能卡和硬件安全模块(HSM)与PKCS#11加密令牌接口变得一致。这意味着用户和管理员可以对系统中的所有相关工具使用相同的语法。显着的增强功能包括:

  • 支持PKCS#11统一资源标识符(URI)方案,确保在管理员和应用程序编写者的RHEL服务器上简化启用令牌。
  • 一种用于智能卡和HSM的系统级注册方法 pkcs11.conf
  • NSS,GnuTLS和OpenSSL提供对HSM和智能卡的一致支持(通过 openssl-pkcs11 引擎)应用程序。
  • Apache HTTP服务器(httpd)现在无缝支持HSM。

有关更多信息,请参阅 pkcs11.conf(5) 手册页。

(BZ#1516741)

默认情况下应用系统范围的加密策略

加密策略是红帽企业Linux 8中的一个组件,它配置核心加密子系统,涵盖TLS,IPSec,SSH,DNSSec和Kerberos协议。它提供了一小组策略,管理员可以使用这些策略进行选择 update-crypto-policies 命令。

DEFAULT 系统范围的加密策略为当前威胁模型提供安全设置。它允许TLS 1.2和1.3协议,以及IKEv2和SSH2协议。如果大于2047位,则接受RSA密钥和Diffie-Hellman参数。

Consistent security by crypto policies in Red Hat Enterprise Linux 8 关于红帽博客的文章和 update-crypto-policies(8) 手册页以获取更多信息。

(BZ#1591620)

SCAP安全指南支持OSPP 4.2

SCAP Security Guide 提供了针对Red Hat Enterprise Linux 8的OSPP(通用操作系统保护配置文件)配置文件4.2的草案。此配置文件反映了通用操作系统保护配置文件(保护配置文件版本4.2)的NIAP配置附件中标识的强制配置控制。SCAP安全指南提供自动检查和脚本,使用户能够满足OSPP中定义的要求。

(BZ#1618518)

OpenSCAP命令行界面得到了改进

现在可以使用详细模式 oscap 模块和子模块。工具输出改进了格式。

已删除不推荐使用的选项以提高命令行界面的可用性。

以下选项不再可用:

  • --showoscap xccdf generate report 已完全删除。
  • --probe-rootoscap oval eval 已被删除。它可以通过设置环境变量来替换, OSCAP_PROBE_ROOT
  • --sce-resultsoscap xccdf eval 已被取代 --check-engine-results
  • validate-xml 子模块已从CPE,OVAL和XCCDF模块中删除。 validate 可以使用子模块来根据XML模式和XSD架构来验证SCAP内容。
  • oscap oval list-probes 命令已被删除,可以使用显示可用探针列表 oscap --version 代替。

OpenSCAP允许评估给定XCCDF基准测试中的所有规则,无论使用何种配置文件 --profile '(all)'

(BZ#1618484)

支持新的地图权限检查 mmap 系统调用

SELinux map 已添加权限以控制对文件,目录,套接字等的内存映射访问。这允许SELinux策略阻止对各种文件系统对象的直接内存访问,并确保重新验证每个此类访问。

(BZ#1592244)

SELinux现在支持 systemd No New Privileges

此更新介绍了 nnp_nosuid_transition 策略功能,启用SELinux域转换 No New Privileges (NNP)或 nosuid 如果 nnp_nosuid_transition 允许在新旧环境之间进行。该 selinux-policy 包现在包含一个策略 systemd 使用该服务的服务 NNP 安全功能。

以下规则描述了为服务允许此功能:

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

例如:

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

分发策略现在还包含m4宏接口,可以在SELinux安全策略中用于使用该服务的服务 init_nnp_daemon_domain() 功能。

(BZ#1594111)

SELinux现在支持 getrlimit 许可 process

此更新引入了一个新的SELinux访问控制检查, process:getrlimit, ,已添加为 prlimit() 功能。这使SELinux策略开发人员能够控制一个进程何时尝试读取,然后使用该进程修改另一个进程的资源限制 process:setrlimit 允许。请注意,SELinux不会限制进程通过操纵自己的资源限制 prlimit()。见 prlimit(2)getrlimit(2) 手册页了解更多信息。

(BZ#1549772)

加密库中的TLS 1.3支持

此更新默认在所有主要后端加密库中启用传输层安全性(TLS)1.3。这样可以在整个操作系统通信层实现低延迟,并通过利用新算法(如RSA-PSS或X25519)增强应用程序的隐私性和安全性。

(BZ#1516728)

新功能 OpenSCAP 在RHEL 8中

OpenSCAP 套件已升级到上游版本1.3.0,它引入了许多先前版本的增强功能。最显着的功能包括:

  • API和ABI已合并 - 已删除已更新,已弃用和/或未使用的符号。
  • 探针不作为独立进程运行,而是作为独立进程运行 oscap 处理。
  • 命令行界面已更新。
  • Python 2 绑定已被替换为 Python 3 绑定。

(BZ#1614273)

Audit 3.0取代了 audispdauditd

有了这个更新,功能 audispd 已被转移到 auditd。结果是, audispd 配置选项现在是其中的一部分 auditd.conf。除此之外 plugins.d 目录已被移动 /etc/audit。目前的状况 auditd 现在可以通过运行来检查其插件 service auditd state 命令。

(BZ#1616428)

rsyslog现在 imfile 现在支持符号链接

有了这个更新, rsyslog现在 imfile 模块提供更好的性能和更多配置选项。这允许您将模块用于更复杂的文件监视用例。例如,您现在可以在配置的路径中的任何位置使用具有glob模式的文件监视器,并使用增加的数据吞吐量旋转符号链接目标。

(BZ#1614179)

自动 OpenSSH 服务器密钥生成现在由处理 sshd-keygen@.service

OpenSSH 如果缺少RSA,ECDSA和ED25519服务器主机密钥,则会自动创建它们。要在RHEL 8中配置主机密钥创建,请使用 sshd-keygen@.service 实例化的服务。

例如,要禁用自动创建RSA密钥类型:

# systemctl mask sshd-keygen@rsa.service

/etc/sysconfig/sshd 文件以获取更多信息。

(BZ#1228088)

默认 rsyslog 配置文件格式现在是非遗留的

中的配置文件 rsyslog 软件包现在默认使用非传统格式。遗留格式仍然可以使用,但是,混合当前和遗留配置语句有几个限制。应修改先前RHEL版本中的配置。见 rsyslog.conf(5) 手册页以获取更多信息。

(BZ#1619645)

新的SELinux布尔

SELinux系统策略的此更新引入了以下布尔值:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

有关更多详细信息,请参阅以下命令的输出:

# semanage boolean -l

(JIRA:RHELPLAN-10347)


为了尽快向用户提供最新的信息,本文档可能会包括由机器自动从英文原文翻译的内容。如需更多信息,请参阅此说明。