Menu Close

4.6. 安全性

libreswan rebase 到 4.4

libreswan 软件包已升级到上游版本 4.4,它引进了许多改进和程序错误修复。最值得注意的是:

  • IKEv2 协议:

    • 引入了 传输模式和主机到主机 连接中的 TCP 封装修复。
    • ipsec whack 命令 中添加了 --globalstatus 选项,用于显示重定向统计信息。
    • ipsec.conf 配置文件中的 vhostvnet 值不再允许 IKEv2 连接。
  • pluto IKE 守护进程:

    • 引入了使用非标准 IKE 端口的主机到主机连接的修复。
    • 添加了对等 ID(IKEv2 IDr 或 IKEv1 Aggr),以选择最佳的初始连接。
    • 禁用 interface-ip= 选项,因为 Libreswan 尚未提供对应的功能。
    • 修复了 ipsec__updown 脚本中的 PLUTO_PEER_CLIENT 变量,用于 传输模式的 NAT。
    • PLUTO_CONNECTION_TYPE 变量设置为 传输隧道
    • 非模板通配符 ID 连接现在可以匹配。

(BZ#1958968)

gnutls rebase 到 3.6.16

The gnutls 软件包已更新至版本 3.6.16。重要的程序错误修复和增强包括:

  • 当成功时,The gnutls_x509_crt_export2() 函数现在返回 0,而不是内部 base64 blob 的大小。这与 gnutls_x509_crt_export2(3) man page 中的文档一致。
  • 现在,由于在线证书状态协议(OCSP)不遵循的证书验证失败,GNUTLS_CERT_INVALID 标志被正确标记。
  • 在以前的版本中,当通过 -VERS-TLS1.2 选项显式禁用 TLS 1.2 时,如果启用了 TLS 1.3,服务器仍然会提供 TLS 1.2。现在,版本协商已被修复,TLS 1.2 现在可以被正确禁用。

(BZ#1956783)

socat rebase 到 1.7.4

socat 软件包已从 1.7.3 版本升级到 1.7.4,它提供了很多程序错误修复和改进。最值得注意的是:

  • GOPENUNIX-CLIENT 地址现在支持 SEQPACKET 套接字。
  • 通用的 setsockopt-int 和相关选项在侦听或接受地址时适用于连接的套接字。要在侦听套接字上启用设置选项,现在可以使用 setsockopt-listen 选项。
  • 向文件中添加了 -r-R 选项,用于原始转储传输的数据。
  • 添加了 ip-transparent 选项IP_TRANSPARENT 套接字选项。
  • OPENSSL-CONNECT 现在自动使用 SNI 功能,openssl-no-sni 选项可关闭 SNI。The openssl-snihost 选项覆盖 openssl-commonname 选项的值或服务器名称。
  • 添加了 accept-timeoutlisten-timeout 选项。
  • 添加了 ip-add-source-membership 选项。
  • 现在 ,UDP-DATAGRAM 地址不会象在 1.7.3 中一样检查对等回复端口。如果您的场景需要之前的行为,请使用 sourceport optioon。
  • 新的 proxy-authorization-file 选项从文件中读取 PROXY-CONNECT 凭据,并允许从进程表中隐藏此数据。
  • 添加了对 VS OCK -CONNECT 和 VSOCK- LISTEN 地址的 AF_VS OCK K 支持。

(BZ#1947338)

crypto-policies rebase 到 20210617

crypto-policies 软件包已升级到上游版本 20210617,它与之前的版本相比提供了很多改进和程序错误修复,最重要的是:

  • 现在,您可以使用作用域策略为不同的后端启用不同的算法集。现在,每个配置指令都可以仅限于特定的协议、库或服务。有关可用范围的完整列表和新语法的详情,请查看 crypto-policies(7) man page。例如,以下指令允许将 AES-256-CBC 密码与 SSH 协议搭配使用,从而影响 libssh 库和 OpenSSH 套件:

    cipher@SSH = AES-256-CBC+
  • 指令现在可以使用星号来使用通配符指定多个值。例如,以下指令使用 libssh 为应用程序禁用所有 CBC 模式密码:

    cipher@libssh = -*-CBC

    请注意,将来的更新可以引入与当前通配符匹配的新算法。

(BZ#1960266)

crypto-policies 现在在自定义策略中支持 AES-192 密码

系统范围的加密策略现在支持自定义策略和子策略中的 密码 选项的以下值:AES-192-GCMAES-192-CCMAES-192-CTRAES-192-CBC.因此,您可以为 Libreswan 应用程序和 AES-192- CBC 密码启用 AES-192- GCMAES-192-CTRAES-192-CBC 密码,用于 libssh 库和 OpenSSH 套件 的 crypto-policies

(BZ#1876846)

FUTURE 加密策略中禁用的 CBC 密码

这个 crypto-policies 软件包更新禁用在 FUTURE 策略中使用密码块链(CBC)模式的密码。FUTURE 中的设置应经受最近的将来攻击,这种改变反映了当前的进度。因此,当 FUTURE 策略活跃时 ,与 crypto-policies 相关的系统组件无法使用 CBC 模式。

(BZ#1933016)

添加新内核 AVC 追踪点

在这个版本中,添加了一个新的 avc:selinux_audited 内核追踪点,在要审核 SELinux 拒绝时会触发该触发器。此功能允许更方便地对 SELinux 拒绝进行低级调试。新的追踪点可用于 perf 等工具

(BZ#1954024)

SCAP 安全指南中新的 ACSC ISM 配置集

scap-security-guide 软件包现在提供澳大利亚网络安全中心(ACSC)信息安全手册(ISM)合规性配置集和相应的 Kickstart 文件。在这个版本中,您可以安装一个符合此安全基准的系统,并使用 OpenSCAP 套件来检查安全合规性并使用基于风险的 ACSC 定义的安全控制方法进行补救。

(BZ#1955373)

SCAP 安全指南 rebase 到 0.1.57

scap-security-guide 软件包已更新到上游版本 0.1.57,它提供一些程序错误修复和改进。最值得注意的是:

  • 推出了澳大利亚网络安全中心(ACSC)信息安全手册(ISM)简介。该配置集扩展了 Essential Eight 配置集,并添加了 ISM 中定义的更多安全控制。
  • 互联网安全中心(CIS)配置集被划分为四个不同的配置集,这些配置集与 CIS 官方基准中定义的强化级别和系统类型(服务器和工作站)不同。
  • 安全技术实施指南(STIG)安全配置集已更新,并实施最近发布的 V1R3 版的规则。
  • 介绍了带有 GUI 的安全技术实施指南(带有 GUI 的 STIG)安全配置集。该配置集从 STIG 配置集衍生而来,并与选择 Server with GUI 软件包选择的 RHEL 安装兼容。
  • ANSSI 高级概况表基于法国国家安全局(ANSSI)的 ANSSI BP-028 建议,已介绍。这包括实施高强化级别的配置集。

(BZ#1966577)

OpenSCAP rebase 到 1.3.5

OpenSCAP 软件包已更新到上游版本 1.3.5。重要的修复和增强包括:

  • 默认为 ovalxccdf 模块的 validate 命令启用基于 Schematron 的验证。
  • 添加了 SCAP 1.3 源数据流 Schematron。
  • 添加了 XML 签名验证。
  • 允许清理 mtime 到 SOURCE_DATE_EPOCH.
  • 添加了 严重性角色 属性。
  • 支持规则和组(XCCDF)中的 需要 和冲突 元素。
  • HTML 报告中的 Kubernetes 修复。
  • 以非本地方式处理 gpfsprocsysfs 文件系统.
  • 修复了常见选项处理风格为 --arg=val
  • 修复了 StateType 操作器的行为。
  • XPath 表达式(xmlfilecontent)中忽略的命名空间,以允许不完整的 XPath 查询。
  • 修复了导致模糊数据存在警告的问题。
  • 修复了 --stig-viewer 功能中的多个 seg faults 和一个损坏的测试。
  • 修复了 TestResult/benchmark/@href 属性。
  • 修复了许多内存管理问题。
  • 修复了许多内存泄漏的问题。

(BZ#1953092)

验证数字签名的 SCAP 源数据流

为满足安全内容自动化协议(SCAP)1.3 规范,OpenSCAP 现在验证数字签名 SCAP 源数据流的数字签名。因此,当评估数字签名的 SCAP 源数据流时,OpenSCAP 会验证数字签名。签名验证会在加载文件时自动执行。带有无效签名的数据流被拒绝,OpenSCAP 不会评估其内容。OpenSCAP 使用 XML 安全库和 OpenSSL 加密库来验证数字签名。

您可以通过在 oscap xccdf eval 命令中添加 --skip-signature-validation 选项来跳过签名验证。

重要

OpenSCAP 不解决作为 KeyInfo 签名元素一部分且用于验证签名的证书或公钥的信任性。您应该根据自己的密钥进行验证,以防止评估已被错误参与者修改和签名的数据流。

(BZ#1966612)

新的 DISA STIG 配置集与 Server with GUI 安装兼容

SCAP 安全指南 中添加了新的配置集 DISA STIG 和 GUI。这个配置集源自 DISA STIG 配置集,并与选择 Server with GUI 软件包组的 RHEL 安装兼容。以前存在的 stig 配置集与 Server with GUI 不兼容,因为 DISA STIG 需要卸载任何图形用户界面。但是,如果在评估期间由安全官正确记录,则可能会覆盖此错误。因此,新配置集有助于将 RHEL 系统安装为与 DISA STIG 配置集一致的 GUI 服务器

(BZ#1970137)

STIG 安全配置集更新至版本 V1R3

SCAP 安全指南中的 DISA STIG for Red Hat Enterprise Linux 8 配置集已更新,以与最新版本 V1R3 保持一致。现在,这个配置集也更加稳定,并与 Defense 信息系统(DISA)提供的 RHEL 8 STIG(安全技术实施指南)手动基准兼容。

第二次迭代带来了大约 90% 的覆盖范围。您应该只使用这个配置集的当前版本,因为旧版本已不再有效。

警告

自动补救可能会导致系统无法正常工作。先在测试环境中运行补救。

(BZ#1993056)

SCAP 安全指南中的三个新的 CIS 配置集

SCAP 安全指南介绍了三个与互联网安全中心(CIS)Red Hat Enterprise Linux 8 Benchmark 一致的新合规性配置集。CIS RHEL 8 Benchmark 为"服务器"和"Workstation"部署提供了不同的配置建议,并为每个部署定义了两个级别的配置:"级别 1"和"级别 2"。以前在 RHEL8 中提供的 CIS 配置集只代表 "Server Level 2"。三个新配置集完成了 CIS RHEL8 Benchmark 配置集的范围,现在您可以更轻松地根据 CIS 建议评估您的系统。

所有当前可用的 CIS RHEL 8 配置集都是:

工作站级别 1

xccdf_org.ssgproject.content_profile_cis_workstation_l1

工作站级别 2

xccdf_org.ssgproject.content_profile_cis_workstation_l2

服务器级别 1

xccdf_org.ssgproject.content_profile_cis_server_l1

服务器级别 2

xccdf_org.ssgproject.content_profile_cis

(BZ#1993197)

通过对类似的系统调用分组来改进审计的补救性能

在以前的版本中,审计补救会针对配置集审计的每个系统调用生成单个规则。这会导致大量审计规则降低性能。在这个版本中,Audit 的补救可将具有相同字段的类似系统调用的规则分组到一条规则中,从而提高性能。

系统调用示例分组在一起:

-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F auid>=1000 -F auid!=unset -F key=perm_mod
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat, rmdir -F auid>=1000 -F auid!=unset -F key=delete
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccesful-perm-change
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat -F auid>=1000 -F auid!=unset -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccessful-delete

(BZ#1876483)

添加了 ANSSI-BP-028 High 级别的配置集

根据法国国家安全局(ANSSI)的 ANSSI BP-028 建议,推出了 ANSSI 高级配置文件。这会完成 SCAP 安全指南中 所有 ANSSI-BP-028 v1.2 强化级别的配置集的可用性。使用新的配置集,您可以在高强化级别将系统强化为来自 GNU/Linux Systems 的 ANSSI 的建议。因此,您可以使用 ANSSI Ansible Playbook 和 ANSSI SCAP 配置集将 RHEL 8 系统合规性配置和自动执行到最严格的级别。

(BZ#1955183)

添加了用于加密 Rsyslog TCP 和 RELP 流量的 OpenSSL

OpenSSL 网络流驱动程序已添加到 Rsyslog 中。此驱动程序使用 OpenSSL 库实施受 TLS 保护的传输。与使用 GnuTLS 库的流驱动程序相比,这提供了额外的功能。现在,您可以使用 OpenSSL 或 GnuTLS 作为 Rsyslog 网络流驱动程序。

(BZ#1891458)

rsyslog rebase 到 8.2102.0-5

rsyslog 软件包被更新到上游版本 8.2102.0-5,它与上一版本相比提供了以下显著变化:

  • 添加了 exists() 脚本函数,以检查变量是否存在,如 $!path!var
  • 添加了对使用 the omrelp 和 imrelp 模块的新配置参数 tls.tlscfgcmd 设置 OpenSSL 配置命令的支持。
  • omfwd 模块中添加了新的 rate-limit 选项,用于发送到远程服务器的速率限制 syslog 信息:

    • ratelimit.interval 指定速率限制间隔(以秒为单位)。
    • ratelimit.burst 指定消息数中速率限制突发。
  • 通过各种改进重写 标记 模块。
  • imptcp 模块中添加 max sessions 配置参数。最大值是针对每个实例测量的,而不是在所有实例间进行全局测量。
  • 添加了 rsyslog-openssl 子软件包;此网络流驱动程序使用 OpenSSL 库实施受 TLS 保护的传输。
  • 使用 MaxBytesPerMinute 和 MaxLinesPerMinute 选项为 imfile 模块添加每分钟的速率限制。这些选项接受整数值,并限制一分钟内可以发送的字节数或行数。
  • 添加了对 imtcp and omfwd 模块的支持,以使用 streamdriver.TlsVerifyDepth 选项为证书链验证配置最大深度。

(BZ#1932795)