章 11. 安全性

基本系統元件已加入對 TLS 1.2 的支援

這次更新中,基本的系統工具,例如 YumstunnelvsftpGitPostfix 都已經修改,以支援 TLS 1.2 通訊協定。這可以確保這些工具不會因為使用了舊版本而有安全性漏洞。

預設上,NSS 使用 TLS 1.2 通訊協定

為了要滿足最新的安全性要求,NSS 預設上已啟用 TLS 1.2 通訊協定。這表示使用者不需要特意起用之。

pycurl 提供選項以取得 TLSv1.1 或 1.2

這次更新後,pycurl 已經更為精進,支援新的選項選用 TLS 1.1 或 1.2,這加強了通訊時的安全性。

PHP cURL 模組支援 TLS 1.1 與 TLS 1.2

之前 curl 函式庫就有對 TLS 1.1 與 1.2 的支援,這已經加入 PHP cURL 延伸程式。

openswan 已淘汰,改用 libreswan

openswan 套件已淘汰,並直接引入了 libreswan 套件加以取代。libreswan 是 RHEL 6 更穩定、更安全的 VPN 解決方案。libreswan 已經是 RHEL 7 的 VPN 端點解決方案。openswan 會在系統升級時,由 libreswan 所取代。
請注意,openswan 套件還是存於軟體庫中。要安裝 openswan 而不是 libreswan,請使用 yum-x 選項來排除 _openswan_:yum install openswan -x libreswan

GlusterFS 加入對 SELinux 的支援

這次更新後,SELinux MAC(強制存取控制,mandatory access control)能給 glusterd(GlusterFS 管理服務)與 glusterfsd(NFS 伺服器)程序使用,這兩者是 Red Hat Gluster Storage 的一部份。

shadow-utils 已大幅升級至 4.1.5.1

shadow-utils 套件提供了管理使用者與群組帳號的工具程式,已更新至 4.1.5.1。這與 RHEL 7 的 shadow-utils 版本相同。加強功能包括了修正後的稽核功能,以提供更好的使用者帳號資料庫之系統管理者的動作紀錄。此套件新加入的功能包括對 chroot 環境中使用 --root 選項的支援。

audit 已大幅升級至 2.4.5

audit 套件提供了使用者空間的工具程式,可儲存、搜尋 Linux kernel 的 audit 子系統所產生的稽核記錄;此套件已大幅升級至 2.4.5。這次更新包括事件解譯器,提供更多系統呼叫名稱與引數,讓事件更為清晰易懂。
這次更新也包括了 auditd 記錄事件至磁碟的重要行為變更。如果 auditd.confflush 設定為 datasync 模式,那麼 auditd 對於記錄事件的效能就會降低。這是因為先前沒有正確通知 kernel 要使用全同步寫入。這問題已經修正,改進了這項操作的可靠性;但這還是會降低些許效能。如果效能降低太多,flush 設定就該變更為 incrementalfreq 設定會控制 auditd 每隔多久告訴 kernel 同步所有紀錄至磁碟上。freq 設為 100 應該能提供不錯的效能,同時確保新紀錄會定期寫入磁碟。

LWP 支援主機名稱與憑證驗證

憑證與主機名稱驗證在預設上是停用的,這實作於 LWP 中,亦稱 libwww-perl。這能讓 LWP::UserAgent Perl 模組的使用者驗證 HTTPS 伺服器的身份。要啟用驗證,請確定已安裝了 IO::Socket::SSL Perl 模組,且 PERL_LWP_SSL_VERIFY_HOSTNAME 環境變數已經設為 1 ,或應用程式已經正確設定了 ssl_opts 選項。欲知詳情,請參閱 LWP::UserAgent POD。

Perl Net:SSLeay 支援橢圓曲線加密參數

Perl Net:SSLeay 模組已加入對橢圓曲線加密參數的支援,這包含了與 OpenSSL 函式庫的連結。EC_KEY_new_by_curve_name()EC_KEY_free*()SSL_CTX_set_tmp_ecdh()OBJ_txt2nid() 子系統已經從上游匯入。IO::Socket::SSL Perl 模組的金鑰交換需要對 ECDHE(橢圓曲線 Diffie–Hellman 交換機制,Elliptic Curve Diffie–Hellman Exchange)的支援。

Perl IO::Socket::SSL 支援 ECDHE

對 ECDHE 的支援已經加入 IO::Socket::SSL Perl 模組。新的 SSL_ecdh_curve 選項可以用來指定適合 OID(物件識別子,Object Identifier )或 NID(名稱識別子,Name Identifier)的曲線。因此,現在在實作 TLS 用戶端時,可以使用 IO::Socket:SSL 覆寫預設的橢圓曲線參數。

openscap 已大幅升級至 1.2.8

OpenSCAP 是一組函式庫,提供路徑給 SCAP 標準整合用,這已經大幅升級至最新的上游版本 1.2.8。值得注意的加強功能包括對 OVAL-5.11 與 OVAL-5.11.1 語言版本的支援、引入了 verbose 模式以更瞭解掃描後的詳細資料、兩個新的指令 oscap-sshoscap-vm 分別透過 SSH 掃描及掃描非動作中的虛擬系統、對 bz2 備份檔的原生支援、以及更先進的 HTML 報告與指南。

scap-workbench 已大幅升級至 1.1.1

scap-workbench 套件已大幅升級至 1.1.1 版,提供了新的 SCAP 安全指南整合對話機制。這可以幫助管理者選擇需要被掃描的產品,而不是選擇內容檔案。新版本也支援多種效能與使用體驗的改進項目,包括改進過的視窗中更精進的規則搜尋,以及使用 GUI 介面取得 SCAP 內容的遠端資源。

scap-security-guide 已大幅升級至 0.1.28

scap-security-guide 套件已大幅升級至最新的上游版本 0.1.28,這提供了多種重要的修正與加強功能。這包括數個改進過或全新的設定檔給 RHEL 6 與 RHEL 7 使用、加入對許多規則的自動檢查與自動修復 script、清楚易讀的 OVAL ID 能讓版本間保持一致、或伴隨於每個設定檔的 HTML 格式之指南。

luci 中對 SSLv3 與 RC4 的支援已經停用

預設上 luci(以網頁為基礎的高可用性功能之管理應用程式)已經停用了不安全的 SSLv3 通訊協定與 RC4 演算法則。使用者可以啟用 SSLv3,但那只為了不太可能發生、及不太可能預期的案例下,應極度小心使用。