第 10 章 安全性

以下章节包含对 RHEL 8 和 RHEL 9 之间安全性的最显著的更改。

10.1. 安全合规性

CIS 和 DISA STIG 配置集作为 DRAFT 提供

该配置集基于互联网安全中心(CIS)和防御行业安全技术实施指南(DISA STIG)的基准,作为 DRAFT 提供,因为发出的机构尚未公布 RHEL 9 的官方基准。另外,OSSP 配置集在 DRAFT 中被实施。

有关 RHEL 9 中可用的配置文件的完整列表,请参阅 RHEL 9 支持的 SCAP 安全指南配置文件

OpenSCAP 不再支持 SHA-1 和 MD5

由于在 Red Hat Enterprise Linux 9 中删除 SHA-1 和 MD5 哈希功能后,从 OpenSCAP 中删除了对 OVAL filehash_test 的支持。另外,从 OpenSCAP 中的 OVAL filehash58_test 实现中删除了对 SHA-1 和 MD5 哈希功能的支持。因此,OpenSCAP 会评估使用 OVAL filehash_test 的 SCAP 内容中的规则作为 notchecked。另外,在评估 OVAL filehash58_testfilehash58_object 中的 hash_type 项设置为 SHA-1MD5)时,OpenSCAP 会返回 notchecked

要更新 OVAL 内容,请重写受影响的 SCAP 内容,使其使用 filehash58_test 而不是 filehash_test,并在 filehash58_object 中的 hash_type 项中使用SHA-224, SHA-256, SHA-384, SHA-512 之一。

OpenSCAP 使用数据流文件而不是 XCCDF 文件

SCAP 源数据流文件(ssg-rhel9-ds.xml)包含以前版本的 RHEL 中包含在 XCCDF 文件(ssg-rhel9-xccdf.xml)中的所有数据。SCAP 源数据流是一个容器文件,其包含执行合规性扫描所需的所有组件(XCCDF、OVAL 和 CPE)。从 RHEL 7 开始,建议使用 SCAP 源数据流而不是 XCCDF。在之前的 RHEL 版本中,XCCDF 文件和 SCAP 源数据流中的数据是重复的。在 RHEL 9 中,这种重复已被删除,以减少 RPM 软件包的大小。如果您的场景需要使用单独的文件而不是数据流,您可以使用这个命令分割数据流文件:# oscap ds-split /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml output_directory.