Show Table of Contents
OpenSSH
章 16. 安全性
OpenSSH chroot Shell Logins
一般來講,各個 Linux 使用者皆會被對映至一個 SELinux 使用者(藉由使用 SELinux 政策),以讓 Linux 使用者繼承設置在 SELinux 使用者上的限制。有個預設對映即為 Linux 使用者將會對映至 SELinux unconfined_u 使用者。
在 Red Hat Enterprise Linux 7 中,用來 chroot 使用者的
ChrootDirectory 選項,可在不進行任何變更的情況下用於受限使用者,不過若是 staff_u、user_u 或是 guest_u 之類的受限使用者,則必須設置 SELinux 的 selinuxuser_use_ssh_chroot 變數。建議管理員在使用 ChrootDirectory 選項時,使用 guest_u user 來對應所有已 chroot 的使用者,以達到更高的安全性。
必要的多重認證
Red Hat Enterprise Linux 7.0 透過了
AuthenticationMethods 選項在 SSH 協定版本 2 中支援多重認證。此選項會列出一或多個以逗號隔開的認證方式名稱清單。若要認證完成,任何清單中的所有方式皆需要成功完成。比方說,這會使得使用者在被提供密碼認證之前,必須先使用公共金鑰或是 GSSAPI 才能進行認證。
GSS Proxy
GSS Proxy 乃代表了其它應用程式建立 GSS API Kerberos context 的系統服務。這帶來了安全性上的益處;比方說,當不同程序共享系統 keytab 的存取權限時,若成功入侵該程序,就會造成所有其它程序受到 Kerberos 偽冒的威脅。
NSS 中的變更
nss 套件已升級為上游版本 3.15.2。Message-Digest algorithm 2(MD2)、MD4 和 MD5 簽章已不再被接受作為線上憑證狀態協定(OCSP)或是憑證撤銷清單(CRL),它們的一般憑證簽章處理亦然。
當 TLS 1.2 進行交涉時,Advanced Encryption Standard Galois Counter Mode(AES-GCM)加密套件(RFC 5288 和 RFC 5289)便會被加入使用。特別是,下列加密套件現在已受到支援:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
SCAP Workbench
SCAP Workbench 是個提供 SCAP 內容掃描功能的 GUI 前端。SCAP Workbench 包含在 Red Hat Enterprise Linux 7.0 中作為技術預覽。
您能在上游專案的網頁中找到詳細資料:
OSCAP Anaconda 外掛
Red Hat Enterprise Linux 7.0 帶入了 OSCAP Anaconda 外掛作為技術預覽。該外掛整合了 OpenSCAP 工具程式與安裝程序,並能讓系統依照 SCAP 內容所提供的限制進行安裝。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.