章 16. 安全性

OpenSSH chroot Shell Logins

一般來講,各個 Linux 使用者皆會被對映至一個 SELinux 使用者(藉由使用 SELinux 政策),以讓 Linux 使用者繼承設置在 SELinux 使用者上的限制。有個預設對映即為 Linux 使用者將會對映至 SELinux unconfined_u 使用者。
在 Red Hat Enterprise Linux 7 中,用來 chroot 使用者的 ChrootDirectory 選項,可在不進行任何變更的情況下用於受限使用者,不過若是 staff_u、user_u 或是 guest_u 之類的受限使用者,則必須設置 SELinux 的 selinuxuser_use_ssh_chroot 變數。建議管理員在使用 ChrootDirectory 選項時,使用 guest_u user 來對應所有已 chroot 的使用者,以達到更高的安全性。

必要的多重認證

Red Hat Enterprise Linux 7.0 透過了 AuthenticationMethods 選項在 SSH 協定版本 2 中支援多重認證。此選項會列出一或多個以逗號隔開的認證方式名稱清單。若要認證完成,任何清單中的所有方式皆需要成功完成。比方說,這會使得使用者在被提供密碼認證之前,必須先使用公共金鑰或是 GSSAPI 才能進行認證。

GSS Proxy

GSS Proxy 乃代表了其它應用程式建立 GSS API Kerberos context 的系統服務。這帶來了安全性上的益處;比方說,當不同程序共享系統 keytab 的存取權限時,若成功入侵該程序,就會造成所有其它程序受到 Kerberos 偽冒的威脅。

NSS 中的變更

nss 套件已升級為上游版本 3.15.2。Message-Digest algorithm 2(MD2)、MD4 和 MD5 簽章已不再被接受作為線上憑證狀態協定(OCSP)或是憑證撤銷清單(CRL),它們的一般憑證簽章處理亦然。
當 TLS 1.2 進行交涉時,Advanced Encryption Standard Galois Counter Mode(AES-GCM)加密套件(RFC 5288 和 RFC 5289)便會被加入使用。特別是,下列加密套件現在已受到支援:
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP Workbench

SCAP Workbench 是個提供 SCAP 內容掃描功能的 GUI 前端。SCAP Workbench 包含在 Red Hat Enterprise Linux 7.0 中作為技術預覽。
您能在上游專案的網頁中找到詳細資料:

OSCAP Anaconda 外掛

Red Hat Enterprise Linux 7.0 帶入了 OSCAP Anaconda 外掛作為技術預覽。該外掛整合了 OpenSCAP 工具程式與安裝程序,並能讓系統依照 SCAP 內容所提供的限制進行安裝。