4.6. 安全性

libreswan rebase 到 4.3

libreswan 软件包已升级到版本 4.3。与以前版本相比的显著变化包括:

  • IKE 和 ESP over TCP 支持(RFC 8229)
  • IKEv2 标签 IPsec 支持
  • IKEv2 leftikeport/rightikeport 支持
  • 对 Intermediate Exchange 的实验性支持
  • 对负载均衡的延长 Redirect 支持
  • 默认 IKE 生命周期从 1 h 改为 8 h,以提高互操作性
  • ipsec.secrets 文件中的 :RSA 部分不再需要
  • 修复了 Windows 10 rekeying 的问题
  • 修复了为 ECDSA 验证发送证书的问题
  • MOBIKE 和 NAT-T 修复

BZ#1891128

IPsec VPN 现在支持 TCP 传输

这个 libreswan 软件包更新添加了对基于 IPsec 的 VPN 的支持,如 RFC 8229 所述。该添加有助于在防止使用封装安全 Payload(ESP)和 UDP 流量的网络中建立 IPsec VPN。因此,管理员可将 VPN 服务器和客户端配置为使用 TCP 作为回退(fallback)或主 VPN 传输协议。

(BZ#1372050)

libreswan 现在支持 Labeled IPsec 的 IKEv2

Libreswan Internet Key Community(IKE)实现了现在包含对 IPsec 安全标签(IKEv2)的互联网密钥交换版本 2(IKEv2)的支持。在这个版本中,在 IKEv1 中使用安全标签的系统可以升级到 IKEv2。

(BZ#1025061)

libpwquality rebase 到 1.4.4

libpwquality 软件包更新到 1.4.4 版本。此发行版本包括多个程序错误修正和翻译更新。最值得注意的是,以下设置选项已添加到 pwquality.conf 文件中:

  • retry
  • enforce_for_root
  • local_users_only

(BZ#1537240)

p11-kit rebase 到 0.23.19

p11-kit 软件包已从 0.23.14 升级到 0.23.19 版本。新版本修复了几个程序错误,并提供了各种改进,特别是:

  • 修复了 CVE-2020-29361、CVE-2020-29362、CVE-2020-29363 安全问题。
  • p11-kit 现在支持通过 meson 构建系统进行构建。

(BZ#1887853)

pyOpenSSL rebase 到 190.0

pyOpenSSL 软件包已更新到上游版本190.0。此版本提供程序错误修正和增强,最重要的是:

  • 改进了 TLS 1.3 支持并带有 openssl 版本 1.1.1。
  • 当尝试使用 X509Store.add_cert 添加重复证书时,不再抛出错误
  • 改进了对组件中包含 NUL 字节的 X509 证书的处理

(BZ#1629914)

SCAP 安全指南 rebase 到 0.1.54

scap-security-guide 软件包已更新到上游版本 0.1.54,它提供了几个程序错误修复和改进。最值得注意的是:

  • 已根据 Red Hat Enterprise Linux 8.4 的一般目的操作系统保护系统的保护配置 (OSPP)进行更新。
  • 引进了基于来自 French National Security Agency(ANSSI)的 ANSSI BP-028 recommendations 的 ANSSI 系列的配置集。内容包含最小、中等和增强强化级别的配置集实施规则。
  • Security Technical Implementation Guide(STIG)安全配置集已被更新,它实现了来自当前发布的 V1R1 版本的规则。

(BZ#1889344

openscap rebase 到 1.3.4

OpenSCAP 软件包已更新到上游版本 1.3.4。重要的修复和增强包括:

  • 修复了导致有大量文件的系统造成内存不足的某些内存问题。
  • OpenSCAP 现在将 GPFS 视为远程文件系统。
  • 正确处理在定义间带有依赖项的 OVAL。
  • 改进了 yamlfilecontent:更新了 yaml-filter,扩展 schema 和 probe 以便在映射中使用一组值。
  • 修复了大量警告(GCC 和 Clang)。
  • 修复了多个内存管理。
  • 修复了多个内存泄漏。
  • XCCDF 文件中的平台元素现已根据 XCCDF 规格正确解决。
  • 改进了与 uClibc 的兼容性。
  • 改进了本地和远程文件系统检测方法。
  • 修复了 dpkginfo 探测以使用 pkgCacheFile,而不是手动打开缓存。
  • OpenSCAP 扫描报告现在是一个有效的 HTML5 文档。
  • 修复了在文件探测中不需要的递归的问题。

BZ#1887794

RHEL 8 STIG 安全配置集更新至版本 V1R1

随着 RHBA-2021:1886 公告提供,SCAP 安全指南中的 Red Hat Enterprise Linux 8 配置集的 DISA STIG 已更新,与最新版本的 V1R1 保持一致。现在,这个配置集也更加稳定,并与 Defense 信息系统(DISA)提供的 RHEL 8 STIG(安全技术实施指南)手动基准兼容。第一次迭代会对 STIG 大约提供了 60% 的覆盖范围。

因为配置集已不再有效,您应该只使用此配置集的当前版本。

警告

自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。

BZ#1918742

新的 DISA STIG 配置集与 Server with GUI 安装兼容

RHBA-2021:4098 公告中 ,在 SCAP 安全指南 中添加了新的配置集 DISA STIG。这个配置集源自 DISA STIG 配置集,并与选择 Server with GUI 软件包组的 RHEL 安装兼容。以前存在的 stig 配置集与 Server with GUI 不兼容,因为 DISA STIG 需要卸载任何图形用户界面。但是,如果在评估期间由安全官正确记录,则可能会覆盖此错误。因此,新配置集有助于将 RHEL 系统安装为与 DISA STIG 配置集一致的 GUI 服务器

(BZ#2005431)

SCAP 安全指南中提供了 ANSSI-BP-028 Minimal、Intermediary 和 Enhanced 等级的配置集

使用新的配置集,您可以把系统强化到来自 French National Security Agency (ANSSI) for GNU/Linux Systems 的最小、中等和增强强化级别。因此,您可以使用 ANSSI Ansible Playbook 和 ANSSI SCAP 配置集,根据所需的 ANSSI 强化级别配置和自动化 RHEL 8 系统合规性。

BZ#1778188

scap-workbench 现在可以使用 sudo 权限扫描远程系统

scap-workbench GUI 工具现在支持使用免密码 sudo 访问扫描远程系统。此功能降低了需要提供 root 凭证而带来的安全风险。

在使用免密码 sudo 以及 remediate 选项的 scap-workbench 时需要非常小心。红帽建议仅为 OpenSCAP 扫描程序指定一个安全的用户帐户。

BZ#1877522

rhel8-tang 容器镜像现已正式发布

在这个版本中,rhel8/rhel8-tang 容器镜像位于 registry.redhat.io 目录中。容器镜像为在 OpenShift Container Platform(OCP)集群中或独立虚拟机运行的 Clevis 客户端提供 Tang-server 解密功能。

(BZ#1913310)

clevis rebase 到版本 15

clevis 软件包已更新至上游版本 15。与之前的版本相比,这个版本提供很多程序错误修复和增强,其中较最重要的是:

  • Clevis 现在生成通用 initramfs,且不再自动将 rd.neednet=1 参数添加到内核命令行中。
  • Clevis 现在可以正确地处理使用 sss pin 的错误配置,clevis encrypt sss 子命令会返回输出来指示错误原因。

(BZ#1887836)

Clevis 不再自动添加 rd.neednet=1

Clevis 现在可以正确地生成通用 initrd (初始 ramdisk),默认没有特定于主机的配置选项。因此,Clevis 不再会在内核命令行中自动添加 rd.neednet=1 参数。

如果您的配置使用之前的功能,您可以使用带有 --hostonly-cmdline 参数的 dracut 命令,或者在 /etc/dracut.conf.d 中创建 clevis.conf 文件,并将 hostonly_cmdline=yes 选项添加到该文件中。initrd 构建过程中必须存在 Tang 绑定。

(BZ#1853651)

新软件包: rsyslog-udpspoof

rsyslog-udpspoof 子软件包已添加回 RHEL 8。此模块与常规 UDP 转发器类似,但允许在不同网络段之间转发 syslog,同时在 syslog 数据包中维护源 IP。

(BZ#1869874)

fapolicyd rebase 到 1.0.2

fapolicyd 软件包已更新到上游版本 1.0.2。与之前的版本相比,这个版本提供很多程序错误修复和增强,其中较最重要的是:

  • 添加了 integrity 配置选项,用于启用完整性检查:

    • 比较文件大小
    • SHA-256 哈希的比较
    • 完整性映射架构(IMA)子系统
  • fapolicyd RPM 插件现在注册由 YUM 软件包管理器或 RPM 软件包管理器处理的任何系统更新。
  • 规则现在可以在主体中包含 GID。
  • 现在,您可以在 debug 和 syslog 信息中包含规则号。

BZ#1887451

新的RPM插件会通知fapolicyd关于 RPM事务过程中的更改

这个 rpm 软件包更新引进了新的 RPM 插件,该插件将 fapolicyd 框架与 RPM 数据库集成。插件通知了 RPM 事务期间已安装和更改的文件的 fapolicyd。因此,fapolicyd 现在支持完整性检查。

请注意,RPM 插件替换 YUM 插件,因为它的功能不仅限于 YUM 事务,也涵盖了 RPM 的更改。

BZ#1923167