Show Table of Contents
PHP
Perl
Perl
章 11. 安全性
基本系統元件已加入對 TLS 1.2 的支援
這次更新中,基本的系統工具,例如
Yum、stunnel、vsftp、Git 或 Postfix 都已經修改,以支援 TLS 1.2 通訊協定。這可以確保這些工具不會因為使用了舊版本而有安全性漏洞。
預設上,NSS 使用 TLS 1.2 通訊協定
為了要滿足最新的安全性要求,NSS 預設上已啟用 TLS 1.2 通訊協定。這表示使用者不需要特意起用之。
pycurl 提供選項以取得 TLSv1.1 或 1.2
這次更新後,
pycurl 已經更為精進,支援新的選項選用 TLS 1.1 或 1.2,這加強了通訊時的安全性。
PHP cURL 模組支援 TLS 1.1 與 TLS 1.2
之前
curl 函式庫就有對 TLS 1.1 與 1.2 的支援,這已經加入 PHP cURL 延伸程式。
openswan 已淘汰,改用 libreswan
openswan 套件已淘汰,並直接引入了 libreswan 套件加以取代。libreswan 是 RHEL 6 更穩定、更安全的 VPN 解決方案。libreswan 已經是 RHEL 7 的 VPN 端點解決方案。openswan 會在系統升級時,由 libreswan 所取代。
請注意,openswan 套件還是存於軟體庫中。要安裝 openswan 而不是 libreswan,請使用
yum 的 -x 選項來排除 _openswan_:yum install openswan -x libreswan。
GlusterFS 加入對 SELinux 的支援
這次更新後,SELinux MAC(強制存取控制,mandatory access control)能給 glusterd(GlusterFS 管理服務)與 glusterfsd(NFS 伺服器)程序使用,這兩者是 Red Hat Gluster Storage 的一部份。
shadow-utils 已大幅升級至 4.1.5.1
shadow-utils 套件提供了管理使用者與群組帳號的工具程式,已更新至 4.1.5.1。這與 RHEL 7 的 shadow-utils 版本相同。加強功能包括了修正後的稽核功能,以提供更好的使用者帳號資料庫之系統管理者的動作紀錄。此套件新加入的功能包括對 chroot 環境中使用
--root 選項的支援。
audit 已大幅升級至 2.4.5
audit 套件提供了使用者空間的工具程式,可儲存、搜尋 Linux kernel 的
audit 子系統所產生的稽核記錄;此套件已大幅升級至 2.4.5。這次更新包括事件解譯器,提供更多系統呼叫名稱與引數,讓事件更為清晰易懂。
這次更新也包括了
auditd 記錄事件至磁碟的重要行為變更。如果 auditd.conf 的 flush 設定為 data 或 sync 模式,那麼 auditd 對於記錄事件的效能就會降低。這是因為先前沒有正確通知 kernel 要使用全同步寫入。這問題已經修正,改進了這項操作的可靠性;但這還是會降低些許效能。如果效能降低太多,flush 設定就該變更為 incremental 且 freq 設定會控制 auditd 每隔多久告訴 kernel 同步所有紀錄至磁碟上。freq 設為 100 應該能提供不錯的效能,同時確保新紀錄會定期寫入磁碟。
LWP 支援主機名稱與憑證驗證
憑證與主機名稱驗證在預設上是停用的,這實作於 LWP 中,亦稱 libwww-perl。這能讓
LWP::UserAgent Perl 模組的使用者驗證 HTTPS 伺服器的身份。要啟用驗證,請確定已安裝了 IO::Socket::SSL Perl 模組,且 PERL_LWP_SSL_VERIFY_HOSTNAME 環境變數已經設為 1 ,或應用程式已經正確設定了 ssl_opts 選項。欲知詳情,請參閱 LWP::UserAgent POD。
Perl Net:SSLeay 支援橢圓曲線加密參數
Perl
Net:SSLeay 模組已加入對橢圓曲線加密參數的支援,這包含了與 OpenSSL 函式庫的連結。EC_KEY_new_by_curve_name()、 EC_KEY_free*()、SSL_CTX_set_tmp_ecdh() 和 OBJ_txt2nid() 子系統已經從上游匯入。IO::Socket::SSL Perl 模組的金鑰交換需要對 ECDHE(橢圓曲線 Diffie–Hellman 交換機制,Elliptic Curve Diffie–Hellman Exchange)的支援。
Perl IO::Socket::SSL 支援 ECDHE
對 ECDHE 的支援已經加入
IO::Socket::SSL Perl 模組。新的 SSL_ecdh_curve 選項可以用來指定適合 OID(物件識別子,Object Identifier )或 NID(名稱識別子,Name Identifier)的曲線。因此,現在在實作 TLS 用戶端時,可以使用 IO::Socket:SSL 覆寫預設的橢圓曲線參數。
openscap 已大幅升級至 1.2.8
OpenSCAP 是一組函式庫,提供路徑給 SCAP 標準整合用,這已經大幅升級至最新的上游版本 1.2.8。值得注意的加強功能包括對 OVAL-5.11 與 OVAL-5.11.1 語言版本的支援、引入了 verbose 模式以更瞭解掃描後的詳細資料、兩個新的指令
oscap-ssh 與 oscap-vm 分別透過 SSH 掃描及掃描非動作中的虛擬系統、對 bz2 備份檔的原生支援、以及更先進的 HTML 報告與指南。
scap-workbench 已大幅升級至 1.1.1
scap-workbench 套件已大幅升級至 1.1.1 版,提供了新的 SCAP 安全指南整合對話機制。這可以幫助管理者選擇需要被掃描的產品,而不是選擇內容檔案。新版本也支援多種效能與使用體驗的改進項目,包括改進過的視窗中更精進的規則搜尋,以及使用 GUI 介面取得 SCAP 內容的遠端資源。
scap-security-guide 已大幅升級至 0.1.28
scap-security-guide 套件已大幅升級至最新的上游版本 0.1.28,這提供了多種重要的修正與加強功能。這包括數個改進過或全新的設定檔給 RHEL 6 與 RHEL 7 使用、加入對許多規則的自動檢查與自動修復 script、清楚易讀的 OVAL ID 能讓版本間保持一致、或伴隨於每個設定檔的 HTML 格式之指南。
luci 中對 SSLv3 與 RC4 的支援已經停用
預設上
luci(以網頁為基礎的高可用性功能之管理應用程式)已經停用了不安全的 SSLv3 通訊協定與 RC4 演算法則。使用者可以啟用 SSLv3,但那只為了不太可能發生、及不太可能預期的案例下,應極度小心使用。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.