7.4. 安全性

远程用户不再被反复提示访问智能卡

在以前的版本中，pcscd 守护进程的 polkit 策略错误地请求用户互动。因此，非本地和非特权用户无法访问智能卡，并遇到大量提示。有了这个更新，pcsc-lite 软件包策略不再包含交互式提示。因此，远程卡用户不再被重复要求特权升级。

当在 FIPS 模式下安装时，64 位 IBM Z 系统不再无法启动

在以前的版本中，使用 --no-bootcfg 选项的 fips-mode-setup 命令不会执行 zipl 工具。因为 fips-mode-setup 会重新生成初始 RAM 磁盘(initrd)，因此生成的系统需要更新 zipl 内部状态才能启动，这在 FIPS 模式下安装时，会将 64 位 IBM Z 系统置于无法启动的状态。有了这个更新，即使使用 --no-bootcfg 进行调用，fips-mode-setup 现在也可在 64 位 IBM Z 系统上执行 zipl，因此，新安装的系统可以成功启动。

crypto-policies 可以在 OpenSSL 中禁用 ChaCha20

在以前的版本中，crypto-policies 组件使用错误的关键字来在 OpenSSL 中禁用 ChaCha20 密码。因此，在 OpenSSL 中的 TLS 1.2 中使用 ChaCha20 无法通过 crypto-policies 来禁用。有了这个更新，crypto-policies 使用 -CHACHA20 关键字，而不是 -CHACHA20-POLY1305 关键字。因此，您现在可以使用 crypto-policies ，来在 OpenSSL 中对 TLS 1.2 和 TLS 1.3 禁用 ChaCha20 密码。

systemd 现在可以执行 /home/user/bin 中的文件

在以前的版本中，systemd 服务无法执行 /home/user/bin/ 目录中的文件，因为 SELinux 策略不包含允许此类访问的策略规则。因此，systemd 服务失败，并最终记录 Access Vector Cache(AVC) denial Audit 信息。这个更新添加了允许访问缺失的 SELinux 规则，systemd 服务现在可以正确执行 /home/user/bin/ 中的命令。

从其他配置文件中删除了特定于 STIG 的默认横幅文本

在以前的版本中，STIG 配置文件中的横幅文本被其他未定义默认文本的配置文件（如 CIS）用作默认文本。因此，使用这些配置文件的系统被配置了 DISA 所需的特定文本。有了这个更新，会创建一个通用默认文本，并定义了一个与相关准则一致的标准 CIS 横幅。因此，基于明确需要文本横幅的指南的配置文件现在与需求保持一致，并设置了正确的文本。

ANSSI Enhanced Profile 可以正确地选择"Ensure SELinux State is Enforcing"规则

在以前的版本中，ANSSI Enhanced 配置文件(anssi_bp28_enhanced)没有选择 "Ensure SELinux State is Enforcing"(selinux_state)规则。这个更新修改了规则选择，现在 ANSSI Enhanced Profile 选择了"Ensure SELinux State is Enforcing" 规则。

修复了 restorecon 和 seunshare SSG 规则的描述

在以前的版本中，对规则"Record Any Attempts to Run restorecon"(CCE-80699-2)和 "Record Anytempts to Run seunshare"(CCE-80933-5)的描述是不正确的。有了这个更新，这些规则的描述与自动 OVAL 检查一致。因此，应用描述中推荐的修复现在可以正确地修复这些规则。

CIS 配置文件不再自动禁用 IPv6

在以前的版本中，RHEL 8 的 CIS 配置文件为推荐“3.6禁用 IPv6”提供了不适当的自动补救措施，该建议通过配置 /etc/modprobe.d/ipv6.conf 防止加载 IPv6 模块禁用了 IPv6 。这可能会对依赖功能和服务造成不良的影响。在 RHEL 8 CIS Benchmark v1.0.1 中，必须手动实现推荐 3.6，因此 RHEL8 CIS 配置文件不会为这个配置项应用任何补救措施。因此，CIS 配置文件与基准一致，不会自动禁用 IPv6。要按照 CIS 推荐的那样通过配置 GRUB2 或 sysctl 设置来手动禁用 IPV6,请参阅 如何在 Red Hat Enterprise Linux 中禁用或启用 IPv6 协议？

CIS 配置文件不再阻止 SSH 服务

在以前的版本中，xccdf_org.ssgproject.content_rule_file_permissions_sshd_private_key 规则默认将 SSH 私钥的权限设置为 640。因此，SSH 守护进程没有启动。这个更新从 CIS 配置文件中删除了 file_permissions_sshd_private_key 规则，因此 SSH 服务可以正常工作。

SCAP 规则现在可接受 /usr/share/audit/sample-rules 中的文件

在以前的版本中，根据 SCAP 规则 xccdf_org.ssgproject.content_rule_audit_ospp_general 和 xccdf_org.ssgproject.content_rule_audit_immutable_login_uids 的描述，用户可以通过从 /usr/share/audit/sample-rules 目录复制合适的文件来使系统合规。但是，这些规则的 OVAL 检查会失败，因此扫描后系统被标记为不合规。有了这个更新，OVAL 检查现在接受来自 /usr/share/audit/sample-rules 的文件，SCAP 规则能够成功通过。

ANSSI Kickstart 现在保留足够的磁盘空间

在以前的版本中，GUI 安装所需的磁盘空间比 /usr 分区中保留的 ANSSI Kickstart 要多。因此，RHEL 8.6 GUI 安装会失败，并显示错误消息，指出 /usr 文件系统需要至少 429 MB 的空间。这个更新使用 scap-security-guide 中提供的 ANSSI Kickstarts 增加了 /usr 分区和 RHEL 8.6 安装的磁盘空间。

GRUB2 参数的补救措施现在是永久的

在以前的版本中，设置内核参数的 GRUB2 规则的补救措施使用了不正确的流程，并且配置更改不会在内核升级过程中持久保存。因此，必须在每次内核升级时重新应用补救措施。有了这个更新，补救措施使用以持久方式配置 GRUB2 的 grubby 工具。

当从 RHEL 8 主机扫描远程系统时，scap-workbench 不再挂起

在以前的版本中，向扫描的系统发送内容文件将会挂起，scap-workbench 工具无法完成扫描。这是由于内核中的一个 bug ，其阻止了执行的 Qt 子进程。因此，从 RHEL 8 主机使用 scap-workbench 命令扫描远程系统无法正常工作。有了这个更新，底层内核 bug 被修复了，因此远程扫描在将文件复制到远程系统时不再挂起，并能成功完成。

usbguard-notifier 不再将太多错误消息记录到 Journal

在以前的版本中，usbguard-notifier 服务没有连接到 usbguard-daemon IPC 接口的进程间通信(IPC)权限。因此，usbguard-notifier 无法连接到接口，它会向 Journal 写入一条相应的错误消息。由于 usbguard-notifier 使用 --wait 选项启动，因此 usbguard-notifier 会在连接失败后尝试每秒去连接 IPC 接口，默认情况下日志会很快包含大量这些消息。

现在，Ambient 功能现在被正确地应用到非 root 用户

作为一种安全措施，将 UID（用户标识符）从 root 更改为非 root ，会使允许的、有效的以及 ambient 的功能集无效。

usbguard-selinux 软件包不再依赖于 usbguard

在以前的版本中，usbguard-selinux 软件包依赖于 usbguard 软件包。这与这些软件包的其它依赖关系相结合，这会导致安装 usbguard 时存在文件冲突。因此，这会阻止在某些系统上安装 usbguard。使用此版本，usbguard-selinux 不再依赖于 usbguard，因此 yum 可以正确地安装 usbguard。

audisp-remote 现在可以正确地检测到远程位置的可用性

在以前的版本中，audisp-remote 插件不会检测变为不可用的远程服务。因此，audisp-remote 进程会进入到高 CPU 使用率的状态。有了这个更新，audisp-remote 可以正确地检测变为不可用的远程服务。因此，进程不再进入高 CPU 使用率状态。

在自动解锁前，Clevis 不再停止于某些配置

在以前的版本中，执行 LUKS 加密卷自动解锁的 Clevis 工具会停止于某些系统配置。因此，加密的卷不会被自动解锁，管理员必须手动提供密码短语。在某些情况下，在管理员按了 Enter 键并解锁了加密卷后，Clevis 会重启。有了这个更新，工具已被修复，不会再停止于这些配置，自动解锁的进程现在可以正常工作。