Menu Close

第 10 章 安全性

本章列出了 RHEL 8 和 RHEL 9 之间与安全相关的主要更改。

10.1. 安全合规性

CIS 和 DISA STIG 配置集作为 DRAFT 提供

该配置集基于互联网安全中心(CIS)和防御行业安全技术实施指南(DISA STIG)的基准,作为 DRAFT 提供,因为发出的机构尚未公布 RHEL 9 的官方基准。另外,OSSP 配置集在 DRAFT 中被实施。

有关 RHEL 9 中可用的配置集的完整列表,请参阅 RHEL 9 支持的 SCAP 安全指南配置集

OpenSCAP 不再支持 SHA-1 和 MD5

由于在 Red Hat Enterprise Linux 9 中删除 SHA-1 和 MD5 哈希功能后,从 OpenSCAP 中删除了对 OVAL filehash_test 的支持。另外,从 OpenSCAP 中的 OVAL filehash58_test 实现中删除了对 SHA-1 和 MD5 哈希功能的支持。因此,OpenSCAP 会评估使用 OVAL filehash_test 的 SCAP 内容中的规则作为 notchecked。另外,在评估 OVAL filehash58_testfilehash58_object 中的 hash_type 项设置为 SHA-1MD5)时,OpenSCAP 会返回 notchecked

要更新 OVAL 内容,请重写受影响的 SCAP 内容,使其使用 filehash58_test 而不是 filehash_test,并在 filehash58_object 中的 hash_type 项中使用SHA-224, SHA-256, SHA-384, SHA-512 之一。