6.4.3. 安全性

fapolicyd 不再阻止 RHEL 更新

当更新替换了正在运行的应用程序的二进制文件时,内核会通过附加 " (deleted)" 后缀来修改内存中的应用程序二进制路径。在以前的版本中,fapolicyd 文件访问策略守护进程将此类应用程序视为不受信任的应用程序,并阻止它们打开和执行任何其他文件。因此,在应用更新后系统有时无法引导。

RHBA-2020:5241 公告提供后,fapolicyd 会忽略二进制路径中的后缀,以便二进制文件与信任数据库匹配。因此,fapolicyd 可以正确强制实施规则,更新过程可以完成。

(BZ#1897092)

SELinux 不再阻止 Tomcat 发送电子邮件

在以前的版本中,SELinux 策略不允许 tomcat_tpki_tomcat_t 域连接到 SMTP 端口。因此,SELinux 拒绝 Tomcat 服务器上的应用程序发送电子邮件。在这个版本中,该策略允许 Tomcat 域的进程访问 SMTP 端口,SELinux 不再阻止 Tomcat 中的应用程序发送电子邮件。selinux-policy

(BZ#1687798)

lockdev 现在使用 SELinux 正确运行

在以前的版本中,lockdev 工具无法转换到 lockdev_t 上下文,即使定义了 lockdev_t 的 SELinux 策略。因此,当 root 用户使用 lockdev 时,可以在 'unconfined_t' 域中运行。这会在系统中引入漏洞。在这个版本中,定义了转换到 lockdev_tlockdev 现在可以在 enforcing 模式的 SELinux 中使用。

(BZ#1673269)

iotop 现在使用 SELinux 正确运行

在以前的版本中,iotop 工具无法转换到 iotop_t 上下文,即使定义了 iotop_t 的 SELinux 策略。因此,当 root 用户使用 iotop 时,可以在 'unconfined_t' 域中运行。这会在系统中引入漏洞。在这个版本中,定义了转换到 iotop_tiotop 现在可以在 enforcing 模式的 SELinux 中使用。

(BZ#1671241)

SELinux 现在可以正确地处理 NFS 'crossmnt'

当进程访问已用作服务器挂载点的子目录时,带有 crossmnt 选项的 NFS 协议会自动创建内部挂载。在以前的版本中,SELinux 会检查访问 NFS 挂载目录的进程是否有挂载权限,从而导致 AVC 拒绝。在当前版本中,SELinux 权限检查会跳过这些内部挂载。因此,访问在服务器端挂载的 NFS 目录不需要挂载权限。

(BZ#1647723)

重新载入 SELinux 策略不再会导致错误的 ENOMEM 错误

重新加载 SELinux 策略会导致内部安全性上下文查找表变得无响应。因此,当内核在策略重新加载期间遇到新的安全上下文时,操作会失败,并显示一个假的"内存Out 内存"(ENOMEM)错误。在这个版本中,内部安全标识符(SID)查找表已被重新设计,不再冻结。因此,在重新加载 SELinux 策略期间,内核不再返回误导的 ENOMEM 错误。

(BZ#1656787)

未限制的域现在可以使用 smc_socket

在以前的版本中,SELinux 策略没有 smc_socket 类的 allow 规则。因此,SELinux 阻止了对未限制域的 smc_socket 的访问。在这个版本中,allow 规则已添加到 SELinux 策略中。因此,未限制的域可以使用 smc_socket

(BZ#1683642)

Kerberos 清理过程现在与 GSSAPIDelegateCredentials 和默认缓存兼容 krb5.conf

在以前的版本中,当在 krb5.conf 文件中配置 default_ccache_name 选项时,kerberos 凭证不会使用 GSSAPIDelegateCredentialsGSSAPICleanupCredentials 选项进行清理。现在,通过更新源代码来清理描述用例中的凭证缓存解决了这个程序错误。配置后,如果用户配置了凭据缓存,则会在 exit 上清理凭据缓存。

(BZ#1683295)

OpenSSH 现在可以正确地处理带有不匹配标签的密钥的 PKCS #11 URI

在以前的版本中,使用对象部分(密钥标签)指定 PKCS #11 URI 可能会阻止 OpenSSH 在 PKCS #11 中查找相关对象。在这个版本中,如果没有找到匹配的对象,标签将被忽略,并且只有 ID 匹配密钥。现在,OpenSSH 可以使用使用完整 PKCS #11 URI 引用的智能卡中的密钥。

(BZ#1671262)

与 VMware 托管系统的 SSH 连接现在可以正常工作

之前版本的 OpenSSH 套件引入了在 SSH 数据包中更改默认 IP 服务质量(IPQoS)标记,VMware 虚拟化平台无法正确处理这些标记。因此,无法与 VMware 上的系统建立 SSH 连接。在 VMWare Workstation 15 中解决了这个问题,与 VMware 托管系统的 SSH 连接现在可以正常工作。

(BZ#1651763)

curve25519-sha256 现在在 OpenSSH 中默认支持

在以前的版本中,即使 OpenSSH 客户端和服务器与默认策略级别兼容,curve25519-sha256 SSH 密钥交换算法在系统范围的加密策略配置中也缺失。因此,如果使用 curve25519-sha256 的客户端或服务器不受主机支持,则连接可能会失败。这个 crypto-policies 软件包更新修复了这个程序错误,在上述场景中 SSH 连接不再会失败。

(BZ#1678661)

OSPP 和 PCI-DSS 配置集的 Ansible playbook 在出现故障后不再退出

在以前的版本中,因为补救中不正确的排序和其他错误,安全内容自动化协议(OSPP)和支付卡行业数据安全标准(PCI-DSS)配置集的 Ansible 修复会失败。此更新修复了生成的 Ansible 修复 playbook 中的排序和错误,Ansible 修复现在可以正常工作。

(BZ#1741455)

Audit transport=KRB5 现在可以正常工作

在以前的版本中,审计 KRB5 传输模式无法正常工作。因此,使用 Kerberos 对等身份验证进行审计的远程日志无法正常工作。在这个版本中,这个问题已被解决,Audit 远程日志记录现在可以在上述场景中正常工作。

(BZ#1730382)