5.4.5. 安全性

fapolicyd 不再阻止 RHEL 更新

当更新替换了正在运行的应用程序的二进制文件时，内核会通过附加 " (deleted)" 后缀来修改内存中的应用程序二进制路径。在以前的版本中，fapolicyd 文件访问策略守护进程将此类应用程序视为不受信任的应用程序，并阻止它们打开和执行任何其他文件。因此，在应用更新后系统有时无法引导。

openssl-pkcs11 不再通过尝试登录到多个设备锁定设备

在以前的版本中，openssl-pkcs11 引擎会尝试使用提供的 PKCS #11 URI 登录搜索的第一个结果，即使第一个结果不是预期的设备和 PIN 匹配另一个设备。这些失败的身份验证尝试锁定该设备。

使用 rpmverifyfile 进行 OpenSCAP 离线扫描现在可以正常工作

在以前的版本中，OpenSCAP 扫描程序 没有以离线模式正确更改当前工作目录，并且未使用 OpenSCAP rpmverifyfile 探测中正确的参数调用 fchdir 功能。已修复 OpenSCAP 扫描程序，以离线模式正确更改当前工作目录，并且修复 fchdir 功能以在 rpmverifyfile 中使用正确的参数。因此，OpenSCAP 可以使用包含 OVAL rpmverifyfile 的 SCAP 内容扫描任意文件系统。

现在，如果在 PKCS #11 设备中没有匹配的公钥的情况下使用 ECDSA 私钥，httpd 现在可以正确启动

与 RSA 密钥不同，ECDSA 私钥不一定包含公钥信息。在这种情况下，您无法从 ECDSA 私钥获取公钥。因此，PKCS #11 设备将公钥信息存储在单独的对象中，无论是公钥对象还是证书对象。OpenSSL 预期引擎提供的 EVP_PKEY 结构用于存放公钥信息的私钥。填写要提供给 OpenSSL 的 EVP_PKEY 结构时，openssl-pkcs11 软件包中的引擎会尝试仅从匹配的公钥对象获取公钥信息，并忽略当前证书对象。

现在 ，审计规则的 SCAP-security-guide PCI-DSS 补救可以正常工作

在以前的版本中，scap-security-guide 软件包包含补救的组合和可导致以下情况之一的检查：

OpenSCAP 现在提供虚拟机和容器的离线扫描

在以前的版本中，重构 OpenSCAP 代码库会导致某些 RPM 探测无法以离线模式扫描虚拟机和容器文件系统。因此，下列工具无法包含在 openscap-utils 软件包中： oscap-vm 和 oscap-chroot。另外，opens cap-containers 软件包已从 RHEL 8 中完全删除。在这个版本中，探测的问题已被解决。

OpenSCAP rpmverifypackage 现在可以正常工作

在以前的版本中，rpm verifypackage 探测调用 chdir 和 chroot 系统调用两次。因此，在使用自定义 Open Vulnerability 和评估语言(OVAL)内容的 OpenSCAP 扫描过程中使用该探测时会出现错误。已修复 rpmverifypackage 探测，以正确使用 chdir 和 chroot 系统调用。因此，rpm verifypackage 现在可以正常工作。