Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
章 11. 安全性
基本系統元件已加入對 TLS 1.2 的支援
這次更新中,基本的系統工具,例如
Yum
、stunnel
、vsftp
、Git
或 Postfix
都已經修改,以支援 TLS 1.2 通訊協定。這可以確保這些工具不會因為使用了舊版本而有安全性漏洞。
預設上,NSS 使用 TLS 1.2 通訊協定
為了要滿足最新的安全性要求,NSS 預設上已啟用 TLS 1.2 通訊協定。這表示使用者不需要特意起用之。
pycurl 提供選項以取得 TLSv1.1 或 1.2
這次更新後,
pycurl
已經更為精進,支援新的選項選用 TLS 1.1 或 1.2,這加強了通訊時的安全性。
PHP cURL
模組支援 TLS 1.1 與 TLS 1.2
之前
curl
函式庫就有對 TLS 1.1 與 1.2 的支援,這已經加入 PHP cURL
延伸程式。
openswan 已淘汰,改用 libreswan
openswan 套件已淘汰,並直接引入了 libreswan 套件加以取代。libreswan 是 RHEL 6 更穩定、更安全的 VPN 解決方案。libreswan 已經是 RHEL 7 的 VPN 端點解決方案。openswan 會在系統升級時,由 libreswan 所取代。
請注意,openswan 套件還是存於軟體庫中。要安裝 openswan 而不是 libreswan,請使用
yum
的 -x
選項來排除 _openswan_:yum install openswan -x libreswan
。
GlusterFS 加入對 SELinux 的支援
這次更新後,SELinux MAC(強制存取控制,mandatory access control)能給 glusterd(GlusterFS 管理服務)與 glusterfsd(NFS 伺服器)程序使用,這兩者是 Red Hat Gluster Storage 的一部份。
shadow-utils 已大幅升級至 4.1.5.1
shadow-utils 套件提供了管理使用者與群組帳號的工具程式,已更新至 4.1.5.1。這與 RHEL 7 的 shadow-utils 版本相同。加強功能包括了修正後的稽核功能,以提供更好的使用者帳號資料庫之系統管理者的動作紀錄。此套件新加入的功能包括對 chroot 環境中使用
--root
選項的支援。
audit 已大幅升級至 2.4.5
audit 套件提供了使用者空間的工具程式,可儲存、搜尋 Linux kernel 的
audit
子系統所產生的稽核記錄;此套件已大幅升級至 2.4.5。這次更新包括事件解譯器,提供更多系統呼叫名稱與引數,讓事件更為清晰易懂。
這次更新也包括了
auditd
記錄事件至磁碟的重要行為變更。如果 auditd.conf
的 flush
設定為 data
或 sync
模式,那麼 auditd
對於記錄事件的效能就會降低。這是因為先前沒有正確通知 kernel 要使用全同步寫入。這問題已經修正,改進了這項操作的可靠性;但這還是會降低些許效能。如果效能降低太多,flush
設定就該變更為 incremental
且 freq
設定會控制 auditd
每隔多久告訴 kernel 同步所有紀錄至磁碟上。freq
設為 100
應該能提供不錯的效能,同時確保新紀錄會定期寫入磁碟。
LWP 支援主機名稱與憑證驗證
憑證與主機名稱驗證在預設上是停用的,這實作於 LWP 中,亦稱 libwww-perl。這能讓
LWP::UserAgent
Perl 模組的使用者驗證 HTTPS 伺服器的身份。要啟用驗證,請確定已安裝了 IO::Socket::SSL
Perl 模組,且 PERL_LWP_SSL_VERIFY_HOSTNAME
環境變數已經設為 1
,或應用程式已經正確設定了 ssl_opts
選項。欲知詳情,請參閱 LWP::UserAgent
POD。
Perl Net:SSLeay
支援橢圓曲線加密參數
Perl
Net:SSLeay
模組已加入對橢圓曲線加密參數的支援,這包含了與 OpenSSL 函式庫的連結。EC_KEY_new_by_curve_name()
、 EC_KEY_free*()
、SSL_CTX_set_tmp_ecdh()
和 OBJ_txt2nid()
子系統已經從上游匯入。IO::Socket::SSL
Perl 模組的金鑰交換需要對 ECDHE(橢圓曲線 Diffie–Hellman 交換機制,Elliptic Curve Diffie–Hellman Exchange)的支援。
Perl IO::Socket::SSL
支援 ECDHE
對 ECDHE 的支援已經加入
IO::Socket::SSL
Perl 模組。新的 SSL_ecdh_curve
選項可以用來指定適合 OID(物件識別子,Object Identifier )或 NID(名稱識別子,Name Identifier)的曲線。因此,現在在實作 TLS 用戶端時,可以使用 IO::Socket:SSL
覆寫預設的橢圓曲線參數。
openscap 已大幅升級至 1.2.8
OpenSCAP 是一組函式庫,提供路徑給 SCAP 標準整合用,這已經大幅升級至最新的上游版本 1.2.8。值得注意的加強功能包括對 OVAL-5.11 與 OVAL-5.11.1 語言版本的支援、引入了 verbose 模式以更瞭解掃描後的詳細資料、兩個新的指令
oscap-ssh
與 oscap-vm
分別透過 SSH 掃描及掃描非動作中的虛擬系統、對 bz2 備份檔的原生支援、以及更先進的 HTML 報告與指南。
scap-workbench 已大幅升級至 1.1.1
scap-workbench 套件已大幅升級至 1.1.1 版,提供了新的 SCAP 安全指南整合對話機制。這可以幫助管理者選擇需要被掃描的產品,而不是選擇內容檔案。新版本也支援多種效能與使用體驗的改進項目,包括改進過的視窗中更精進的規則搜尋,以及使用 GUI 介面取得 SCAP 內容的遠端資源。
scap-security-guide 已大幅升級至 0.1.28
scap-security-guide 套件已大幅升級至最新的上游版本 0.1.28,這提供了多種重要的修正與加強功能。這包括數個改進過或全新的設定檔給 RHEL 6 與 RHEL 7 使用、加入對許多規則的自動檢查與自動修復 script、清楚易讀的 OVAL ID 能讓版本間保持一致、或伴隨於每個設定檔的 HTML 格式之指南。
luci 中對 SSLv3 與 RC4 的支援已經停用
預設上
luci
(以網頁為基礎的高可用性功能之管理應用程式)已經停用了不安全的 SSLv3 通訊協定與 RC4 演算法則。使用者可以啟用 SSLv3,但那只為了不太可能發生、及不太可能預期的案例下,應極度小心使用。